セキュリティ対策の要点解説

第 9 回 危険度には個人差があります ～ Security Risk Management ～ リスクの把握と更新の適用判断

公開日: 2006年9月27日

マイクロソフト株式会社
セキュリティ レスポンス チーム
小野寺 匠 著

前回は、サービスが攻撃を受けた場合の被害範囲を最小限にするための、サービスの権限の最小化についてお話ししました。今回は、その話を少し広げて、脆弱性が発見された後に更新プログラムの適用の要否や時期をどの様に判断するべきかについてお話します。

セキュリティ更新プログラムが公開された場合、無条件に適用する必要があるという意識が働きがちですが、適用に伴う再起動やアプリケーションとの互換性を考えると性急な適用が最適とは言えません。

脆弱性の悪用によるセキュリティの被害を最小限に抑えるためには、最終的にセキュリティ更新プログラムを適用する必要があります。しかし、適用に際して再起動によるシステムのダウンタイムやアプリケーションの互換性等を考慮する必要があります。そのためにテストを行ったり、適用手順書をまとめたりする訳ですが、今度は展開完了までに時間がかかってしまいます。そこで、セキュリティ更新プログラムを展開する前にリスク判断を行い、テストと早期展開のどちらに比重を傾けるかの判断が必要となります。しかし、そのリスクの判断の方法が判らない、難しい、手間がかかりすぎる等の声を聞くこともあります。そこで、このコラムでは簡易的なリスク判断の考え方を数回に分けてご紹介します。

今回は、まず適用対象について考えます。適用対象である、サーバーやクライアント PC は、一律に同じ重要度ではないはずです。対象を可用性の観点で簡単に分類すると以下に分けられるのではないでしょうか。

重要度	分類
1 (最も重要)	24時間365日停止できない
2	数時間は停止できる
3	停止しても、他の大きな影響はない。

十分なテスト時間が取れる場合は重要度に関係なく、可能な限り早くセキュリティ更新プログラムを適用することが前提です。 重要度 （1） の場合は、あらゆるトラブルを事前に回避するために十分なテストを実施する必要があります。ただし、通常無停止を求めるシステムの場合は、ロードバランスやクラスタによる並列化が行われているはずですから、一部の並列ノードに即時に適用しテスト運用を並行させる方法もあります。 重要度 (2) の場合は、数時間の停止は許容できるわけですから、最小限のテストに留め、早々に適用します。その際に問題が発生した場合は速やかにアンインストールまたは、バックアップからのリストアを行い、システムを適用前の状態に戻し、その後、十分な時間をかけて問題を取り除いていく方法が取れます。 重要度 (3) の場合は、停止自体が重要ではないと考え、場合によりテストを行わず即時に適用します。その上で、問題が発生した場合は重要度 (2) と同様の対策をとります。 実際に、重要度 (3) と同様の運用を全社のクライアント PC に対して行っている企業もあります。この企業では、PC への依存度の低い部署から順次時差をつけながら適用することで、問題が発生した場合でも影響が最小になるように運用されています。 この、問題が発生した場合に適用前の状態にロールバックして運用を継続するという方法を実施するには、十分な更新プログラムの管理および配布が可能な仕組みが必要となります。更新 (システムに対する変更) が自由に管理できる環境は、通常の管理面でも有利ですので、セキュリティ更新プログラムの展開としてだけではなく、管理および維持を容易にする仕組みとして整備しておきたいものです。 次回は、脆弱性の危険度をどの様に考えていくかについて触れます。 **関連サイト：** - [更新プログラム管理](https://technet.microsoft.com/ja-jp/updatemanagement/default.aspx) [.jpg)](https://technet.microsoft.com/ja-jp/library/d2607610-3137-420b-9bbf-2552bec68922(v=TechNet.10)) この記事は、マイクロソフト セキュリティ ニュースレターで配信しました。 [](#mainsection)[ページのトップへ](#mainsection) ##### バックナンバー - [セキュリティ対策の要点解説](https://technet.microsoft.com/ja-jp/library/f301b3b4-fdcc-43f8-846e-135538db4edf(v=TechNet.10)) [](#mainsection)[ページのトップへ](#mainsection)