日々発見される脆弱性に対する「仮想パッチ」

脆弱性の対策として最も一般的なのがセキュリティパッチの適用です。Windowsであれば、WindowsUpdateが該当します。

脆弱性が発見されると、提供元から修正プログラムであるセキュリティパッチがリリースされます。セキュリティパッチを適用することで脆弱性の対策が可能です。しかしながら、パッチ適用をするということは、正常に動作しているソフトウェアのプログラムを修正することと同義なので、

• 修正による新たなバグ埋め込み
• 新たな脆弱性
• 稼働させているシステムへの予期せぬ影響
• 適用時のサービス停止

などのリスクが発生します。

該当するソフトウェアを利用するユーザーは、パッチ適応をすることが望ましいですが、パッチ適用をしないリスクと、適用するリスクを天秤にかけて適用有無を判断する必要があります。

ちなみに、脆弱性発見からパッチ公開までの間に脆弱性を突いた攻撃をすることを「ゼロデイ攻撃」といいます。攻撃の対処方法がわからない状態での攻撃になるので、非常に大きな脅威になっています。

TrendMicro社のDeepSecurityというサービスでは、脆弱性に対して仮想的なパッチを適用させます。DeepSecurityはサーバーインストール型のサービスです。サーバーにエージェントが常駐して通信を監視し、正常な通信のみを通します。仮想パッチでは、脆弱性に対するセキュリティパッチを常駐するエージェントに自動適用させ、該当する攻撃を遮断することが可能です。

たとえば、HTTPS(443/tcp)などのWEBの通信であれば、WEBサーバーであるApache(httpd)上で処理が行われます。Apacheに脆弱性が発見された場合は、Apacheに対してセキュリティパッチを適用させます。Apache上でシステムが動作している場合は、システムそのものを修正することになるので、動作確認等の作業工数やリスクを考慮し適用有無の判断が必要です。

DeepScurityを使うことで、エージェントに対して自動的にパッチが適用されます。DeepSecurityは、通信経路上にあるだけでシステムとの関連性はありません。そのため、パッチ適用による動作確認等の工数を大幅に削減することができ、素早い脆弱性対策の適用が可能になります。

OSやソフトウェアのセキュリティ上の欠陥が「脆弱性」です。脆弱性に対するするために、セキュリティパッチが提供されます。ユーザーはパッチ適用の工数を考慮して、適用有無の判断をする必要があります。

DeepSecurityのような仮想パッチサービスを使うことで、素早く、手間なく、セキュリティパッチ適用と同等の効果を得ることが可能です。