セキュリティパッチ

脆弱性が公表された日から、攻撃者はその穴を突くコードを用意し始める。セキュリティパッチは、その穴を塞ぐためにベンダーが配る修正であり、適用が遅れるほど攻撃にさらされる時間が延びる。OSやミドルウェア、業務アプリケーションには日々欠陥が見つかり、その都度パッチが公表されるため、対策は一度で終わらず継続的な適用が前提となる。自治体では基幹業務システムを止められない時間帯が多く、適用に伴う再起動や動作確認の手間から後回しになりがちだが、未適用のまま放置された脆弱性はランサムウェアや不正アクセスの主要な侵入口になる。どの機器にどのソフトがどのバージョンで入っているかを情報資産台帳で把握し、優先度をつけて計画的に適用する運用へと切り替わってきた。

適用が遅れる構造的な理由

パッチは公表されればすぐ当てればよい、とは限らない。自治体の基幹業務システムは住民窓口の稼働時間中は止められず、適用に伴う再起動や設定変更で業務が中断するリスクがある。さらにパッチを当てると既存の業務アプリが動かなくなる「相性問題」もあり、本番適用の前に検証環境での動作確認が要る。結果として、緊急度の高い脆弱性ほど早く当てたいのに、影響範囲の大きいシステムほど慎重にならざるを得ないという緊張が生じる。ベンダー保守契約の範囲や、ガバメントクラウド・自治体クラウドのように運用を委託している場合は誰がいつ適用するのかの取り決めが、適用の速さを左右する。

計画的な適用と資産把握

パッチ適用を場当たりで行うと、当て漏れた一台が侵入口になる。そこで前提となるのが、どの機器にどのソフトウェアがどのバージョンで導入されているかを情報資産台帳で網羅的に把握することである。把握できていれば、公表された脆弱性が自組織に影響するかを判定し、深刻度（CVSSなどの指標）に応じて適用の優先順位と期限を決められる。総務省のガイドラインも、脆弱性情報の収集と修正プログラムの計画的な適用を求めている。サポートが終了したOSやソフトはパッチ自体が提供されないため、更新・廃棄を含めたライフサイクル管理と一体で運用する必要がある。