ビジネス&テクノロジー

対処方法(およびパッチ管理)

投稿者 Carl Windsor | 2022年3月10日

ウクライナ情勢が緊迫化し、国家支援型の攻撃が増加する中、現代の戦争は従来の陸、空、海での攻撃だけではなく、サイバー攻撃も兵力の一部として一般的になっているという点に注目すべきでしょう。サイバー攻撃は、国の重要なインフラストラクチャを不安定にし、攻撃への対応を遅らせたりすることを目的として、通常、標的国の金融、政府、通信機関に対して行われます。

たとえ直接攻撃を受けている状況でなくても、このような危機的状況にある現在、サイバーセキュリティについてもっと真剣に捉える必要があるということを誰もが考えさせられます。これは、ミュンヘンサイバーセキュリティ会議での発言の中でアメリカ合衆国司法省の司法次官補 リサ・モナコ氏が表明した所感です。

「我々は緊張感の異常な高まりを経験しています。これを受けてあらゆる規模の企業において、防御の強化、パッチ適用などの実施、アラートシステムの向上、リアルタイムでのサイバーセキュリティ監視など、今すぐに備えを行わないのは愚かなことと言えます。企業は、いわゆる「保護を行う」必要があり、実際にアラートレベルを可能な限り最高レベルに引き上げ、あらゆる必要な予防措置を取る必要があります」

この発言が必要な理由

フォーティネットのブログをお読みいただいている方は、当社も以前からこのこと(「パッチ適用を優先し、ネットワークの整合性を確保」)を述べていたことをご存じでしょう。当社は、一部のお客様がパッチを適用しなかったことによる影響に対処しています。この問題は、2019年に解決されたSSL-VPN問題に関連する報道を引き起こしており、一部のお客様ではパッチが適用されていないままです。このブログをお読みいただいた方は、この問題の修正措置が行われていることを確認してください。

組織によっては、パッチ適用の措置を必ずしも行っているわけではありません。したがって、こうした状況を変えるためのサポートをするには、事情をよく理解する必要があります。このようになってしまう原因については、人間心理学に有用なヒントがあります。

双曲線ディスカウントは、将来報酬よりも即時報酬を選択する傾向を示す認知バイアスです。たとえ即時報酬の方が少なくても傾向は同じです。これを最も的確に表しているのが「明日の百より今日の五十」ということわざです。

これをサイバーセキュリティに置き換えると次のようになります。私は、サイバーセキュリティ問題に備えてシステムにパッチを適用するよりも、上司が促す一刻を争うプロジェクトに取り組みます。セキュリティ問題はめったにあるものではなく、「攻撃に遭うのは運」だと思っています。

パッチ管理については、ウクライナの状況やアメリカ合衆国司法省のリサ・モナコ氏の警告からも軽視すべきではないことは明らかですが、パッチ管理を優先させることに成功したいのであれば、人間の性質を変える必要があります。そのためには、すぐに見返り(フィードバック)が必要です。

認知バイアスの除去

ここでセキュリティレーティングサービスが、認知バイアスの除去に役立ちます。このサービスでは、実行中の行動がシステムのセキュリティに影響を与えるというフィードバックが即座に顧客に提供されます。セキュリティレーティングサービスは公開されてしばらく経ちますが、数か月のうちにこのサービスが更にレベルアップします。レベルアップの内容は、レーティングの中に、パッチ適用(または適用不足)が含まれるようになります。また、FortiCareではロールアップレポートも提供して、プロセスのさらなる促進をサポートします。

図1:FortiCareプラットフォーム機能の例

フォーティネット セキュリティ ファブリックのプラットフォームが、組織全体のデジタル攻撃対象領域において、どのようにして広範にわたり一元的に自動化された保護を実現して、あらゆるネットワーク、エンドポイント、クラウドにおいて一貫性のあるセキュリティを提供できるのか、ご確認ください。