_Lasse_Kristensen_Alamy.jpg?width=1280&auto=webp&quality=80&format=jpg&disable=upscale)
出典:Lasse Kristensen(Alamy Stock Photo経由)
継続的なパッチ管理の問題に対処するには、特にソフトウェアサプライチェーンを保護するために、より繊細な対応が求められます。米国国立標準技術研究所(NIST)は、ベンダーや組織がソフトウェアアップデートおよびパッチリリースのプロトコルを改善できるよう、セキュリティおよびプライバシー管理カタログを改訂しました。
2020年に初版が公開されたセキュリティおよびプライバシー管理カタログは、組織がサイバーリスクを軽減するためのセキュリティおよびプライバシー保護策(管理策)を詳細に記載しています。連邦情報システムにはこれらの管理策の実装が求められていますが、このカタログは民間および公共部門の両方を対象としています。内容はアクセス、認証、インシデント対応、サプライチェーンリスク管理などを網羅しています。
NISTは、ほとんどのソフトウェアがインターネットにさらされており、それが攻撃者による標的化や侵害を容易にする可能性があると警告しています。組織は膨大な数の脆弱性へのパッチ適用に直面しており、どれを優先すべきか判断が難しい状況です。開発者やソフトウェアベンダーは、根本原因の分析を行い、十分なパッチを提供しながら迅速に修正を展開することに苦慮しています。パッチ管理やソフトウェアアップデートリリースの改善は、「データ侵害のリスクを低減する」ことにつながると、同機関は述べています。
今回の最新アップデートは、ソフトウェアアップデートおよびパッチリリースに関連するリスクへの対応に重点を置いています。NISTによれば、これらの変更は「組織が自らのシステム上のソフトウェアのセキュリティ確保における役割を理解するのに役立つ」ことを意図しています。
NISTが加えた3つの変更点
全体的な目標は、攻撃されるまでの時間(アタックウィンドウ)を短縮することです。セキュリティおよびプライバシー管理カタログのアップデートは、ソフトウェア開発および展開プロセスにおけるリスクの軽減を目的としています。技術的な内容の改訂に加え、NISTは主に3つの変更を加えました。
-
ログ記録の構文:これは、インシデント対応の向上を支援するために、セキュリティ関連イベントを記録する電子フォーマットを定義します。データフォーマットを定義することで自動化が促進され、チームがセキュリティ関連のインシデントをより迅速に再構築できるようになります。
-
根本原因分析:この変更は、ソフトウェアアップデートに関する問題や障害の原因を特定するためのレビューを実施し、アクションプランを策定して実行することを定めています。
-
サイバー・レジリエンス設計:この推奨事項は、システムの生存性、すなわち重要な機能を維持しながら攻撃を予測・耐性・対応・回復できる能力を持つように設計することを求めています。
また、最小権限アクセス、脆弱性修正テスト、顧客との合意および通知、アップデートの調整などに関する懸念を示す議論のアップデートもありました。
これらの修正は、6月に発令された大統領令により、9月2日までにセキュリティおよびプライバシー管理カタログのアップデートが求められたことへの対応です。また、今回の変更は新たなコメントシステムのもとで行われ、提案された改訂やフィードバックがリアルタイムで反映されました。