セキュリティパッチとその対処
情報セキュリティに関連する製品であれば、常にパッチを出して新たな脅威に備えるのは常識だ。で、そのパッチを見つけたら即、対応するべきであるかどうかは意見の分かれるところでもある。
最近では、パッチを当たっていないことをヒステリックに非難する風潮があるので、あえて逆説的なことを述べたい。
個人向け商品であれば、メーカーから出ているパッチに関しては何の疑いも持たないで、インストールしてもそんなに差し支えはない。
しかし、何らかのサービスの提供において、利用されているソフトウェア、たとえば、OSやWebサーバーといったものについては、セキュリティの観点から見ても、その限りではない。
当然、パッチの提供元が信頼できるかどうかという問題を抜きにしても、急いでパッチをあてる必要性が必ずしもあるわけではない。
実際に情報セキュリティにおいて重要なのは、セキュリティの3要素から考えることである。(3要素については、CANフォーラムの拙著コラムを参考にされたい)
具体的には、「機密性」「完全性」「可用性」である。
「機密性」の観点からみて、パッチはすばやくあてる必要がある。
しかしながら、そのパッチをあてることで、それに依存しているサービスが問題なく動きつづけるか否かも重要である。すなわち「可用性」の問題である。
では、どうすればいいのかといえば、そのパッチで埋まるセキュリティホールがどのようなもので、どの「情報」に対しての「脅威」となるかを見極めることである。
そして、脅威に晒される情報のセキュリティ3要素の要求の大小から見て、可用性を取るのか機密性を取るのかをしっかりチョイスすることが重要である。
それに応じて、そのパッチをすぐあてるべきなのか、十分な検証をした後にあてるべきなのかを決定する必要があるのである。即パッチをあてるというのは、可用性を失うリスクに目をつぶるということでもある。
OSやWebサーバーにおいて「パッチが当たっていないサーバー」=「絶対悪」ではないということをしっかり理解して、サーバー担当者はサーバーを運用する必要があろう。
当然、だからといって、パッチなどの情報収集を怠っていいというわけではない。十分な情報セキュリティの情報の中から本当に必要なものを取捨選択することが、重要なのである。