マイクロソフトとNISTが協力、企業のパッチ適用ガイドを策定へ

　Microsoftと米国の国立標準技術研究所（NIST）は、企業のセキュリティパッチの適用に関するNISTのガイドの策定を進めている。

　両者は他の利害関係者に対して、この策定中の文書作業への参加を求める呼びかけを始めた。このプロジェクトには、製品を提供する側のベンダーも、ユーザーとしてパッチの適用に関わる知見を持っている企業や個人も参加できる。

　作成された文書は、システム管理者が社内のセキュリティパッチ適用基準の策定や改善を行うために利用できる、「Special Publication 1800」シリーズのNISTの標準として公開される。

　このガイドは、業界ガイドラインを策定する米国の政府機関であるNISTが定めるものであり、今後大きな影響を与えると予想される。

きっかけは2017年のランサムウェアの流行

　このMicrosoftとNISTの協力関係は、2018年にスタートした「Critical Cybersecurity Hygiene: Patching the Enterprise Project」（PDF、ホームページ）と名付けられたプロジェクトから始まった。

　この活動の開始にあたっては、Microsoftが大きな役割を果たした。同社は、2017年に3つのランサムウェア（「WannaCry」「NotPetya」「Bad Rabbit」）が流行したのを受け、企業が社内のコンピュータにどのようにセキュリティパッチを適用しているかについて調査し始めたという。

　Microsoftは、被害を受けた企業の多くは、セキュリティパッチが入手可能であったにもかかわらず、パッチをインストールしていなかったと述べている。同社は、それらの企業がなぜシステムにパッチを適用しなかったのかを調査した。

　Microsoftのサイバーセキュリティソリューショングループでリードサイバーセキュリティアーキテクトを務めるMark Simos氏は、「調査過程では、顧客と直接会って、顧客が抱えている課題について耳を傾ける作業が重要な役割を果たした」と述べている。

セキュリティパッチの適用に対する企業のアプローチはさまざま

　聞き取りによって、セキュリティパッチの適用に対するアプローチは企業によって大きく異なっており、その結果としてパッチの適用の遅れが発生していたことが明らかになった。

　聞き取りで明らかになった大きな原因の1つは、多くの企業がパッチをテストする手順を定めておらず、バグやクラッシュによって本番稼働システムにダウンタイムが発生するのを避けるために適用作業を遅らせていたことだった。

　Simos氏は、中にはパッチのテスト手順が「オンラインフォーラムでそのパッチを適用して問題があった人がいないかを尋ねる」ことだけだった企業もあったと述べている。

　また一部の企業は、パッチをどれだけ早く適用すべきかを把握しておらず、自分たちの基準に従ってセキュリティパッチの重要性を解釈・判断していた。

　調査の結果、Microsoftは企業環境のパッチ適用プロセスを整えるためには、業界標準が必要だという結論に至ったという。

　このガイドの策定スケジュールは定められていないが、NISTのガイドが最初から業界の大手企業の支援を受けて策定されるケースは非常にまれであるため、策定作業は迅速に進むとみられる。