先の記事で、外部の攻撃者はサーバーやネットワーク機器のセキュリティパッチを適用されないことによる脆弱性を狙って攻撃してくる。と書きました。
それではなぜ企業はサーバーやネットワーク機器のセキュリティパッチを適用しないのでしょうか。なぜ、脆弱性をつかれた攻撃による情報漏洩事件はあとを絶たないのでしょうか。それは、ネットワーク機器を管理する人やチームの単なる怠慢なのでしょうか。
ネットワーク機器やサーバーを運用した経験がある人は、想像がつくと思います。そこには単なる管理者の怠慢だけでは片付けられない様々な要因が絡んでいます。
■ なぜセキュリティパッチを適用しないのか?
多くの人が利用している、サーバーやネットワーク機器に対するセキュリティパッチを適用することは、普段お使いのWindows PCにセキュリティパッチを適用するのと比べると、一言でいうと[
大変」なことです。セキュリティパッチの適用漏れは、その大変さが影響している点と、構成や管理の「複雑さ」が影響している点があります。
・セキュリティパッチにより不具合が生じるリスクがある。
サーバーやネットワーク機器を運用する人には、一度動き始めたサーバー機器は、動いている限り触りたくないという心理があります。触るというのは、何かの設定を変更するなどがありますが、セキュリティパッチを適用することもそれに当たる場合があり、セキュリティパッチを適用した途端、不具合が発生したり、最悪動作しなくなったりします。
・テスト環境が用意できないケースがある。
最悪動作しなくなってしまうことを想定すると、セキュリティパッチを適用するサーバー、機器と同じものを用意してテストできることもありますが、予算、時間、その他の事情でテスト環境が用意できないこともあります。
・計画と社内調整
セキュリティパッチを適用は、一時的に対象のサーバーや機器を停止する必要があります。そのため、緊急時を除き、思い立ったら次の日に行うようなことはできず、システムを利用している部門と協議、調整して日時を決める必要があります。
・パッチの適用時間
社内調整が終了したら予定時間にセキュリティパッチを適用するわけですが、機器、サーバーが一時的に利用できなくなるため、その時間は多くの場合、利用者が少ない真夜中か、早朝の時間帯になります。そういった時間に日常的に運用チームのメンバーが働いている会社であれば、あまり問題はありませんが、会社によっては時間外、深夜時間労働として、扱われます。また、人手不足により、対応が後手になってしまうこともあるでしょう。
・サーバー機器管理面の問題
特にサーバー機器の数が多くなると、管理に関わる人も増えます。また、企業の歴史が長くなると、古くから利用している機器も増えます。そういった中で、サーバー機器に関する情報がうまく引き継がれていなかったり、セキュリティパッチが必要な機器であるのにも関わらず、放置をされたり、場合によっては存在すら把握されていないケースも考えられます。
・経営者の理解不足
以上のような「大変さ」を経営者の方々が理解できれば良いですが、場合によっては理解されないケースもあり、そういったことが理由でセキュリティパッチの適用が遅れる、といったこともあります。
以上のように、サーバーやネットワーク機器のセキュリティパッチを適用するのは、Windows PCのセキュリティパッチを適用することに比べると、様々な側面で大きな作業であり、企業の規模が大きく、歴史が長くなると、全体像を掴むことが難しいケースもあります。なので、できる限りセキュリティパッチの適用作業が少ない方が望ましいのです。
■セキュリティパッチが殆ど無い、リモートアクセスとは
エリアビイジャパンが用意するリモートアクセス製品のSWANStor(スワンストア)はVPNのようにインターネット上にネットワーク機器を運用する必要必要がありません。つまり、セキュリティパッチ充て漏れでサイバー攻撃の対象になる構成物がありません。
セキュリティパッチを適用する必要が殆ど無いので、より安全にリモートアクセス環境を簡単に運用することができます。
詳しくは、以下ページを御覧ください。
SWANStor
https://www.areabe.com/product/
