概要
NIST SP800-40は、脆弱性とパッチの管理についてのガイドラインです。
日本語版について、IPAでは「NIST SP 800-40 Version 2.0(パッチおよび脆弱性管理プログラムの策定)」を公開しており、ゾーホージャパン株式会社では「Revision 3(エンタープライズ向けパッチ管理技術ガイド)」を公開しています。
パッチおよび脆弱性管理プログラムの策定(Ver.2)
http://ipa.go.jp/files/000025330.pdf
エンタープライズ向けパッチ管理技術ガイド(Ver.3)
https://www.manageengine.jp/solutions/nist_publications/nist_SP800-40/lp/
このガイドラインでは、組織内部でパッチを特定し、配布を円滑に行うことを専門とした対策グループ(PVG:Patch and Vulnerability Group)を定義し、11の責務を示しています。
PVGの責務
- システムインベントリを作成する。
PVGは、組織のITリソースに関する既存のインベントリを使って、組織内部で使用しているハードウェア機器、オペレーティングシステム、およびソフトウェアアプリケーションを確認する。PVGは、既存のインベントリでは把握されていないITリソースについても、手作業によってインベントリを管理する。 - 脆弱性、修正措置、および脅威を監視する。
PVGは、セキュリティソースを監視して、PVGのシステムインベントリに含まれるソフトウェアに対応する脆弱性の公表、パッチやパッチ以外による修正措置、および新たに発生した脅威がないかどうかを確認する。 - 脆弱性修正措置の優先順位付けを行う。
PVGは、組織における脆弱性修正措置の導入の優先順位を決定する。 - 組織固有の修正措置データベースを作成する。
PVGは、組織に適用する必要がある修正措置のデータベースを作成する。 - 修正措置の一般的なテストを実施する。
PVGは、標準化された構成を使用するIT機器を対象としたパッチおよびパッチ以外による修正措置のテストを実施する必要がある。これにより、現場の管理者が余分なテストを実行せずに済む。PVGは、現場の管理者と緊密に連携して、重要なシステムに対するパッチや構成変更のテストも行う。 - 脆弱性に対する修正措置を導入する。
PVGは、脆弱性の修正措置を監督する。 - 現場の管理者に対して脆弱性および修正措置の情報を配布する。
PVGは、組織のソフトウェアインベントリに存在し、かつ、PVGの守備範囲に含まれるソフトウェアパッケージの脆弱性と修正措置の情報を、現場の管理者に通知する責任を負う。 - パッチの自動導入を実施する。
PVGは、エンタープライズ向けパッチ管理ツールを使ってIT機器に自動的にパッチを導入する。または、実際にパッチ管理ツールを実行するグループと緊密に連携することもできる。自動化されたパッチ適用ツールにより、管理者は 1 つのコンソールから数百あるいは数千のシステムを更新できる。デスクトップシステムが標準化されており、各サーバが同様の構成になっている均一なコンピュータプラットフォームの場合、導入はきわめて容易である。マルチプラットフォーム環境、標準でないデスクトップシステム、レガシーコンピュータ、および例外的な構成のコンピュータが組み込まれている場合であっても、自動化されたパッチ適用ツールを使用することができる。 - アプリケーションの自動更新を設定する(可能かつ該当する場合は常に)。
最近のアプリケーションの多くは、ベンダーのWebサイトにアクセスして、適用可能なアップデートが存在するかどうかをチェックする機能を備えている。この機能は、パッチの特定、配布、インストールに必要な労力を最小限に抑える上で非常に有効である。ただし、組織の構成管理プロセスの妨げとなる可能性があるため、この機能の使用を望まない組織もあるだろう。推奨される方法としては、組織のネットワークから、自動更新プロセスを使ってパッチをローカルに入手する方法である。この場合、インターネット経由ではなく、ローカルネットワークからアプリケーションの更新が可能である。 - ネットワークおよびホストの脆弱性スキャンにより脆弱性修正措置を検証する。
PVGは、脆弱性に対する修正措置が正常に行われたことを確認する。 - 脆弱性の修正措置についてトレーニングを行う。
PVG は、管理者に対して、脆弱性の修正措置の実施に関する教育を施す。コンピュータへのパッチの適用をエンドユーザに委ねる場合、PVG は、エンドユーザに対して、適切な教育を施さなければならない。
パッチ管理技術
Revision 3ではパッチ管理技術について書かれています。4章ではパッチ管理機能3種類について説明されています。
特徴 | エージェント型 | エージェントレススキャン | ネットワークのパッシブ監視 |
ホストに管理権限が必要か? | はい | はい | いいえ |
管理されていないホストをサポートするか? | いいえ | いいえ | はい |
リモートホストをサポートするか? | はい | いいえ | いいえ |
アプライアンス機器をサポートするか? | いいえ | いいえ | はい |
スキャンに帯域幅が必要か? | 最小限 | 中程度から過度 | なし |
検出されるアプリケーションの範囲は? | 包括的 | 包括的 | 暗号化されていないネットワークトラ フィックを生成するものに限定 |