WSUSは万能?テレワークで見落とされているデバイス管理の落とし穴

企業のIT資産はWSUSでどの程度守られているのか?

このページをご覧いただいている方の中に、情報システム関連部署の現場ではなく、現場から上がってくる提案について決裁する立場や、さらにその上の経営に携わる立場の方であれば、現場の方が常日頃頭を抱えジレンマに悩まされている状況について、もう少しでだけ理解を深めていただける機会になれば幸いです。

問いかけは実にシンプルです。「社内の業務で利用されているパソコンのほとんどがWindowsだし、WSUSが構築されているからセキュリティーは大丈夫」と認識されていたり、「Windows以外のOSについては、利用者が個別に対応できているから問題ない」と思われているなら、たとえとしてこの例を思い描いてください。

「家の鍵という鍵を半分は閉めて、半分は開けっ放しにして旅行にいく」

誰でも泥棒に侵入される可能性が心配になると思います。「いやいや、旅行に行くなら、もう半分も閉めるし、何なら雨戸まで閉めちゃうよ」と言われる方もいらっしゃるかと思います。むしろそれが普通だと思います。

たしかに、社員が利用しているパソコンの多くがWindowsOSであることは、ほとんどの企業において事実だと思います。だからといって、これらのパソコンのセキュリティーを守っていれば安全と言えるかと言えば、そうではありません。この状態だと「半分だけ戸締りする」と考えていることと同じなのです。
「会社のIT資産はWSUSを構築しているから、パソコンのセキュリティは万全。WindowsOSが守られているから大丈夫」といった認識でいた場合、個人のパソコン以外の資産が何であるかについて、認識する必要があります。会社のIT資産の内訳についての調査では、会社ごとに差異はあるとは思いますが、実に半分近くがWindows以外だという結果が出ています。

Microsoft社以外の企業内IT資産内訳
Microsoft社以外の企業内のIT資産内訳 - およそ48%のIT資産がMicrosoft社以外

WSUSでは守り切れないIT資産、その種類は盛りだくさん

WSUSを導入している環境ではWindowsOSは定期的にセキュリティパッチのファイルを適応されている状態にはなりますが、セキュリティーホールを狙った攻撃を実行する側は、WindowsOSだから狙うのではなく、あらゆるセキュリティーホールを見つけて攻撃をしているのです。
とくに、リモートワークや在宅勤務の存在感が増してくるにつれて、社内と同じように仕事ができる環境にするために共有サーバーを構築することもあるでしょう。そしてその共有サーバーやインフラ構築に利用されるOSがLinuxであったり、手元で利用しているパソコン以外がWSUSで管理できない資産としてあり、それらがどれほど業務に直結していたのか理解いただけるかと思います。
悪意のあるハッカーによっては、個人のパソコンより、多くの情報が集まっているであろうインフラで利用されているサーバーを攻撃対象に選択することもあるかもしれません。

また、みなさまは、このページを読むこの1週間以内に、PDFファイルのドキュメントをいくつ開いたか覚えておりますでしょうか。ほとんどの方は、「開いたことは知っているけど、数まではおぼえていない」と言うでしょう。お客様の見積もりや、会社の総務部門や経理部門から送られてくる書類をあたりまえの様に見ているので、特に気に留める人はいないと思います。実は、OSにの上で動いているアプリケーションも日々発見されるセキュリティーホールがあり、放置されたセキュリティーホールは気が付かないリスクとしてあり続けるのです。そして、悪意をもったハッカーはそういった虚をついて攻撃手段を日々深化させていることを、認識することが大切なことになります。

IT資産製品別の脆弱性検出数トップ10
IT資産脆弱性検出数トップ10 - Microsoft社製品の他に、LinuxやAcrobat製品がランクイン
Microsoft社製品以外への攻撃の割合
Microsoft社製品以外への攻撃の割合 - クライアント側で動作するアプリケーションを対象にした攻撃を含めると全体の45%

セキュリティーの強化はスピード対応が最大防御のはずでも、現場の実態は?

不安なことばかりお伝えして申し訳ありません。希望を持った言い方をすれば、WSUSのおかげで半分は守られているかもしれないという事実はあります。つまり、あと半分の守り方を考えればよいのです。
そこで、残った半分の現状について見てまいりましょう。WSUSである程度自動化できているのであれば、そこはこれまでの運営ポリシーにのっとって適宜運用されているとして、差し迫った危険性は考える必要はなさそうですね。問題は、WSUSの対応から外れている残りのIT資産。つまりサーバーやモバイル端末やアプリケーションのことです。この調査によればWindows以外のセキュリティーアップデートやパッチの適用状況の課題として、タイムリーに適用できていないといった課題があるようです。

セキュリティーパッチアップデートの適用状況
セキュリティーパッチアップデートの適用状況 - Windows社製IT資産と比較して、その他のIT資産はタイムリーに対応できていない

WSUSから漏れた資産はよくてセキュリティー担当の属人、最悪の場合はエンドユーザー任せ!?

「タイムリーじゃないにせよ適用できているからよいのでは?」とお考えであれば、冒頭でお話しさせていただいた「鍵」のことを思い出してみてください。IT資産のセキュリティーホールは対応がされた後、他のセキュリティーホールを探しては新たな攻撃を仕掛けてくるといった、まさにイタチごっこの状況と言うことができます。一時的に鍵はかけることができても、別のところに鍵がかけられていないドアが見つかってしまうため、セキュリティーパッチやその類更新ファイルが日々提供されてくるのです。
それでは、これらのパッチファイルは現場ではどの様に対応されているのかといえば、約7割が手動対応となっており、約2割近くがエンドユーザー任せということが調査結果から出てきました。セキュリティー担当とはいえ、すべての機器やソフトデバイスについて精通しているわけではありません。たいていの場合は、情報システム部門として社内のインフラに業務時間を割かれて、エンドユーザーのパソコンやデバイス単位のセキュリティー管理に避ける時間は限られているのではないでしょうか?このような状況でセキュリティー担当を責めるのは、理不尽にすら感じるのではないでしょうか。

セキュリティーパッチアップデートの適用状況
セキュリティーパッチの対応方法 - およそ68%が手動で中にはエンドユーザー任せも

まとめ

企業ごとに現在の対応範囲や対応策はまちまちではあるでしょう。ただ、残念なことにセキュリティーホールはいつも存在していて、悪意のあるハッカーも体制が整うまで待つようなことはしてくれないでしょう。
WSUSの運用環境を変えることなく、管理対象から外れてしまっているIT資産のセキュリティーホールの対策を実施するには、ツールの導入を検討されることが一歩進んだセキュリティー対策への近道に感じないでしょうか。

ManageEngine Patch Manager Plusでは、パッチ管理に関する課題点や、有効な対策のノウハウに関する情報提供として、毎週木曜日にオンラインセミナーを実施しております。(視聴時間約75分) 指揮者の実例に基づいた視点から新しい気付きが得られるはずです。

セミナータイトルWSUSだけでは不十分!?
有識者と考える、より安全な脆弱性対策とは
概要IPA 10大脅威2019でも3位にランクインした、ランサムウェアによる被害ですが全体としてのランサムウェア感染件数は20%減少している一方、企業の感染件数は12%も増加しているとの報告も出ています。
こういった最新のサイバー攻撃に向き合い続けている有識者とともに、実例を交えながら企業がとるべき脆弱性対策についてお話しします。
対象となる方
  • 脆弱性管理について専門家の話を聞きたい方
  • 他社でのパッチ管理事例に興味がある方
  • マルチOS、サードパーティ製品を含むパッチ管理を行いたい方
  • WSUSでの運用に不安・不満がある方
  • パッチ管理ソフトPatch Manager Plusの詳しい機能が知りたい方