Microsoftの月例アップデートは“悪夢の象徴” クラウドストライクが批判：セキュリティニュースアラート

クラウドストライクは、Microsoftが毎月第2火曜日に提供しているセキュリティアップデート「パッチ・チューズデー」が、セキュリティ担当者たちの大きな負担になっていると批判した。

[後藤大地，有限会社オングス]

　クラウドストライクは2023年10月31日、Microsoftが20年前に開始した「パッチ・チューズデー」と呼ばれるセキュリティアップデートと現在のセキュリティ脅威に関する懸念を報じた。

　パッチ・チューズデーは、Microsoftが毎月第2火曜日に提供しているセキュリティアップデートだ。これによってIT部門は適切なリソースの計画と割当が可能になり、アップデートに関連する混乱を緩和できるようになったとされているが、近年の攻撃対象領域の拡大からこのやり方では対処が難しくなってきている。

CrowdStrike: Stop breaches. Drive business.（出典：CrowdStrikeのWebサイト）

パッチ・チューズデーは「悪夢の象徴と化した」

　クラウドストライクは「パッチ・チューズデーを開始した当時、この方法には一定の価値があったが、現状ではこの方法では脅威に対処することが現実問題として難しくなってきている」とコメントしている。

　コロナ禍を経て組織はクラウドへの移行を急ぎ、従来のセキュリティ境界を取り払ってデジタル時代に突入した。これに伴い、管理しなければならないエンドポイントやコネクテッドデバイス、アプリケーション、クラウド環境の数は急増し、脆弱（ぜいじゃく）性が顕在化する領域は拡大している。

　この変化によってMicrosoft製品のエコシステムもさまざまな種類のテクノロジーやソフトウェア、アプリケーション、クラウド製品・サービスなどを包含して、劇的に成長した。しかしその結果、企業はテクノロジースタック全体で大量の脆弱性を抱えることになり、リスクの拡大を招いている。

　米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）が発表した調査によると、最も多く悪用されている脆弱性トップ12のうち4つがMicrosoft製品だ。クラウドストライクによると、ランサムウェアに悪用された脆弱性の40％以上が、Microsoft製品に関係しているという。

　クラウドストライクは「このような理由から多くのセキュリティ部門やIT部門にとってパッチ・チューズデーはもはや、パッチ適用という混乱を和らげてくれる希望の光ではなくなった。敵対者に脆弱性を悪用される前に、急いで適用するパッチの優先順位を決め、ダウンストリームへの影響を把握し、対策をしなければならないという、毎月繰り返される悪夢の象徴と化した」と指摘している。

　クラウドストライクによると、多くのケースにおいて激増する脆弱性やそれらを狙うサイバー攻撃に対処する負担はベンダー側から顧客側に移動している。脆弱性へのパッチ適用が間に合わずに侵害が発生した場合、セキュリティ対策を怠ってパッチを適用しなかったとして、被害者が非難されるケースも多くあるという。だが「このような見方は、Microsoftの脆弱性が多すぎるため、負担が顧客側に転嫁されているという問題を見落としている」と同社はコメントしている。

　同社は「パッチ・チューズデー自体は悪いものではないが、これが脆弱性問題の拡大を象徴するものと化し、業界全体を悩ませている」と指摘し、Microsoftがより安全な仕様の製品を開発してパッチ適用の負担を軽減するようになるまでは、組織が直面しているリスクを理解し、最も重要な被害をもたらす脆弱性に優先順位を付けて優先的に対処するというプロアクティブな対応を取ることを推奨している。