パッチ適用の義務化
Cybersecurity and Infrastructure Security Agency(いわゆるCISA)という組織があります。
これは、アメリカ合衆国国土安全保障省傘下の独立連邦機関で、サイバーセキュリティ・インフラストラクチャセキュリティ庁法を推進するために設立された組織です。
政府の全てのレベルを横断したサイバーセキュリティの改善、サイバーセキュリティのプログラムに関して各州と協調する事、および私的なハッカーや国家ぐるみのハッカーに対する政府のサイバーセキュリティ防御を改善することを目指しています。
米国としてのセキュリティ対策のど真ん中といえそうです。
そのCISAが、既知の悪用が確認されている脆弱性の重大なリスクの軽減というタイトルの拘束力のある指令を発行しています。
いくつかの大きなポイントがあります。
- 拘束力がある指令であること
- パッチ適用に対する制限時間が明確に規定されていること
- 連邦、行政機関、部門、機関が対象組織で、従う義務があること
パッチ適用は実施したほうがよいことは多くの人が認識しています。
しかしそれとは反対側に働く力として、パッチ適用したら既存システムが動かなくなるのではないか、などの不安もあり、こういったものがタイムリーなパッチ適用にとってのブレーキになっている組織が多いと思われます。
たしかにパッチ適用した最新の状態は各種ソフトウェアでの動作確認が取れていないかもしれません。
しかし、だからといって脆弱な状態を放置して攻撃されうる状態のままでいることが許容されるものではありません。
これは大きな決断だと思います。
この対象となる脆弱性の条件は次の通りです。
- Common Vulnerabilities and Exposures(CVE)IDが割り当てられていること
- 脆弱性が実際に悪用されているという信頼できる証拠があること
- ベンダー提供のアップデートなど、脆弱性に対する明確な修正アクションがあること
つまりは、やるべきことについて、できることは、全部実施しなさい、ということでしょうか。
米国は大きな一歩を踏み出しました。
世界の各国は、そして日本は、このような方針を打ち出していくことができるでしょうか。
参考記事(外部リンク):CISA sets two week window for patching serious
vulnerabilities
blog.malwarebytes.com/reports/2021/11/cisa-sets-two-week-window-for-patching-serious-vulnerabilities/参考記事(外部リンク):REDUCING THE SIGNIFICANT RISK OF KNOWN EXPLOITED
VULNERABILITIES
www.cisa.gov/known-exploited-vulnerabilities
