セキュリティアップデート

セキュリティアップデートとは

セキュリティアップデートとは、セキュリティ上の問題を無効化させるために、アップデート作業を行うことです。

セキュリティ上の問題とは、主にプログラムのバグのことを指します。WindowsやLinuxなどのオペレーティングシステムはもちろん、ApacheやMySQLなどのミドルウェア、WordPressなどのソフトウェアはすべてプログラムです。

これらのプログラムでは、日々新しい脆弱性が発見されています。利用者が多ければ多いほど、発見される数や悪用される可能性も高くなります。

脆弱性の発見と、対策用パッチの提供状況を把握し、必要に応じて適用していくことが必要です。

責任共有モデル

AWSのセキュリティは、AWSと利用ユーザーで責任を共有する「責任共有モデル」が基本的な考え方となります。

「責任共有モデルでは」AWSがクラウドに関するセキュリティに責任を持ちます。具体的には、AWSで提供されるすべてのサービスを実行するインフラストラクチャの保護について責任を負います。このインフラストラクチャはハードウェア、ソフトウェア、ネットワーキング、AWS クラウドのサービスを実行する施設で構成されます。

一方、利用者は、クラウド内のセキュリティに責任を持ちます。クラウド内というのは、クラウドを利用するうえでのセキュリティです。たとえば、セキュリティグループ設定や、EC2インスタンス上のオペレーティングシステムやプログラムのセキュリティについてが対象となります。

つまり、AWSを利用する場合でも、OSやミドルウェアについてのセキュリティ対策は利用者が行う必要があります。

パッチ適用を行わないと

適切なパッチ適用を行わないと、ビジネス上のリスクが発生します。

たとえば、自身のWEBサービスが、脆弱性をついた攻撃を受ける可能性があります。

攻撃を受けることで、サービス停止の被害を受けるかもしれません。不正に個人情報にアクセスされて、情報漏洩が起きる可能性もあります。

また、攻撃の踏み台にされてしまうこともあります。その場合、被害者ではなく、知らず知らずのうちに加害者になっていることもありえます。

セキュリティアップデートの流れ

セキュリティアップデートの流れは次のように行います。

1.脆弱性認知
2.パッチ適用判断
3.パッチ配布確認
4.パッチ適用

1.脆弱性認知

まずは、脆弱性が発見されたことを知る必要があります。脆弱性情報は、対象ソフトウェアの公式ページやSNS、IT系サイトから入手することができますが、JPCertなどの脆弱性情報データベースを公開しているサイトを確認するのが便利です。

主な脆弱性情報データベースを提供しているサイトは次の通りです。

IPA
JPCert
JVN
JVN iPedia

脆弱性情報データベースでは、様々なソフトウェアの脆弱性情報を公開しています。そのため、複数のサイトを横断して探しに行く必要はありません。また、脆弱性の深刻度に応じてレベル分けされています。レベルは、パッチ適用可否の判断基準としても役立てることが可能です。

自社で利用しているソフトウェアおよび該当バージョンが対象になっているかを確認しましょう。

2.パッチ適用判断

パッチは、修正プログラムです。既存のプログラムを修正することになります。そのため、パッチ適用には、事前の動作確認など多くの工数が必要になります。

パッチ適用の工数とパッチ適用をしなかった場合のリスクを踏まえて、適用有無の判断を行います。

3.パッチ配布確認

脆弱性が公表されると、多くのケースではは開発元からパッチ提供が行われます。

パッチ適用を行うと判断した場合は、脆弱性情報データベースや公式サイトを確認して、修正用のパッチ提供の有無を確認します。

既に開発が終わっているソフトウェアや、サポート期限切れのバージョンを利用している場合は、要注意です。基本的にはパッチ提供は行われません。必然的にセキュリティリスクにさらされることになります。可能な限り、最新バージョンへのアップデートまたはリプレイスを検討しましょう。

4.パッチ適用

パッチの配布が確認できたら、パッチ適用を行います。

パッチ適用を行うことで、既存のプログラムが動作しなくなる場合があります。それを避けるために、事前の動作確認が必要です。

そのため、既存環境と同等のテスト環境を用意します。まずは、パッチ適用をするのは、テスト環境です。適用後は、サービスの動作確認を行います。確認がとれたら、本番環境の適用へ進んでいきます。

セキュリティアップデートの運用ポイント

ディーネットのAWS運用代行サービスでは、セキュリティアップデートサービスの提供をしております。

日々の脆弱性情報の収集を行い、一定の基準を超える場合は、対象のお客様へ内容をご連絡します。その内容をもとに、お客様にて適用判断をしていただきます。

パッチ適用をする。と判断された場合は、必要に応じてテスト環境をご用意のうえ、お客様と事前検証を実施。問題ないと判断された場合は、本番環境へパッチ適用いたします。

セキュリティアップデートサービス

お客様にてセキュリティアップデートの運用をする場合のポイントです。

脆弱性は日々新しいものが発見されています。つまり、運用中のサービスについては、常に気にしておく必要があります。日ごろから、脆弱性の情報収集作業をルーチン化しておきましょう。

また、セキュリティアップデートの適用基準を予め決めておくことも重要です。「脆弱性情報データベースの○○に、深刻度○○以上の脆弱性が公開された場合は、適用を検討する。」などの基準があると、実際に対応が必要になった場合に、落ち着いて対応することが可能です。

実際にパッチ適用する際の手順や影響、必要な工数を予め見積もっておくことで、いざというときに、慌てずに判断が可能になります。

パッチ適用すると決めた場合は、事前の動作確認を行い、本番反映させるようにしましょう。

最後までご覧いただきありがとうございます

この記事では、セキュリティアップデートサービスについて解説しました。

AWSでは責任共有モデルにより、クラウドについてはAWSが責任をもってセキュリティ対策を実施します。利用者は、クラウドの利用方法やEC2インスタンス内のOSやプログラムについてセキュリティ対策が必要です。

あらかじめ、セキュリティアップデートの対応方針を決めておきましょう。
脆弱性は日々発見されます。脆弱性についての情報収集を継続的に行います。対象となる脆弱性が発見されたら、適用可否の判断をします。適用の判断となった場合は、パッチの提供を待ちます。パッチが提供されたら、テスト環境で動作確認を行い、動作確認を実施。確認がとれたら、本番環境へ適用させます。