何故、これを書こうと思ったのかというと、ウェブサイトの保守管理をウェブ制作会社に任せている会社さんから多く聞くのが「毎月一回、セキュリティアップデートしてもらってます!キリッ」っていう言葉と、実は御客様の諸々のセキュリティ対策をしているセキュリティの専門家(情報処理安全確保支援士の方)がSNSで「月に一度のセキュリティアップデートの日がやってきました!キリッ」って投稿しているのを見かけたので、皆さん大きな勘違いをされているなあという実態を知ってしまったというのがあります。
以前は「パスワードは定期的に変更せよ」なんて言うのが普通に言われてましたが、今では「パスワード変更はイベント発生時に」というのが定石になっています。まあ、未だに「定期的に変更を求める」業界もありますが全く意味がありません。これと同様にセキュリティアップデートを定期的に行うのは「全く意味が無い」事なのですよね。だって、脆弱性が見つかっても「セキュリティアップデートを行う日まで放置」であれば、いつ攻撃に遭ってもおかしくない状態が続くってことですから。攻撃者は「アップデートするまで待ってやるか」なんて考えてくれません。それこそパスワードと一緒で「セキュリティアップデートはイベント発生時に」が大原則なのです。「セキュリティアップデートの定期的実施」は「パスワードの定期的変更」以上に意味が無いことであり、危険なことなのです。
実際に弊社であった事例を挙げると、一時期弊社では改竄されたサイトの調査を(法に触れない範囲で勝手に)行っていて、被害に遭ったのが道内の企業・団体だった場合には無償で連絡を差し上げていました。連絡しても、その殆どはノーリアクションだったのですが、道内のコミュニティFM局から連絡をもらったことがあります。その時に伺ったのは「セキュリティアップデートは月イチで業者が行っている」のに被害に遭うんですねっていう話でした。弊社からは「随時アップデートするように契約を変えた方が良いですよ」とお伝えしました。何故なら脆弱性は月イチで発生するわけではなく、ほぼ毎日のように何らかの脆弱性が、何らかのシステムで見つかっているからです。
恐らく「月イチで実施」と言っている会社さんは、Windowsの定例アップデートに慣れてしまったから「そういうモンだ」と思い込んでいるのかもしれません。でも、実はMicrosoftもバカではないので「緊急を要するアップデートは定例を待たずして出すこともある」んですよね。そういう例が少ないこともあって、気が付かれていないのでしょうが。あと、同じように定例アップデートを実施しているアプリケーションもありますが、Windowsの定例アップデートとは実施タイミングが異なります。そう考えると、月イチでOKなわけが無いという事が理解できるかと思います。
これを読んでいる皆さんの会社でも、パソコンの中に幾つのアプリケーションが入っているのか、ウェブサイトはどうなのか、サーバーはどうなのかを点検してみると良いかと思います。膨大な量のアプリケーションやミドルウェア、プラグインやテーマがあって、それぞれがバラバラに脆弱性が見つかりアップデートがリリースされていることに気が付くでしょう。セキュリティアップデートは出たら「即適用」が基本ですので、そう考えると「月イチで」なんてのんびりしたことを言ってられないことが判るかと思います。
セキュリティアップデートは「出たら(イベント発生したら)即適用」するものだと理解し、そこら辺の管理を業者に委託しているのならば契約変更をすることを強くオススメしますし、それが出来ないと言う業者は切ることも視野に検討されるのを強くオススメします。サイバー攻撃を仕掛ける人間は無差別にやってきますし、毎日のようにやってきます。セキュリティアップデートの適用まで待ってくれる優しい攻撃者なんて絶対にいませんから。