« NIST SP 1800-31 一般的なITシステムへの組織全体のパッチ適用の改善:既存ツール活用とより良い方法によるプロセスの実行 | Main | 米国 MITRE 世界最高水準のサイバーセキュリティオペレーションセンターの11の戦略 (2022.03) »

2022.04.08

NIST SP 800-40 Rev.4 組織全体のパッチ管理計画のためのガイド:技術についての予防的保守

こんにちは、丸山満彦です。

NISTがパッチ管理についてのガイド(SP 800-40 Rev.4)と、プラクティスガイド (SP 1800-31) の最終版を公開していますね。。。

です。

ゼロトラストアーキテクチャーにおいては、パッチ管理の重要性は高まっていますよね。。。資産管理とかちゃんとしないといけない、、、ということでサイバー衛生の重要性も理解しないといけませんよね。。。

「言うは易し、行うは難し」がこのパッチ管理ですよね。。。特に可用性が重要なシステムについてのパッチ適用については、非常に難しいですよね。。。

NIST - ITL

・2022.04.06 SP 800-40 Rev. 4 Guide to Enterprise Patch Management Planning: Preventive Maintenance for Technology

SP 800-40 Rev. 4 Guide to Enterprise Patch Management Planning: Preventive Maintenance for Technology SP 800-40 Rev.4 組織全体のパッチ管理計画のためのガイド:技術についての予防的保守
Abstract 概要
Enterprise patch management is the process of identifying, prioritizing, acquiring, installing, and verifying the installation of patches, updates, and upgrades throughout an organization. Patching is more important than ever because of the increasing reliance on technology, but there is often a divide between business/mission owners and security/technology management about the value of patching. This publication frames patching as a critical component of preventive maintenance for computing technologies – a cost of doing business, and a necessary part of what organizations need to do in order to achieve their missions. This publication also discusses common factors that affect enterprise patch management and recommends creating an enterprise strategy to simplify and operationalize patching while also improving reduction of risk. Preventive maintenance through enterprise patch management helps prevent compromises, data breaches, operational disruptions, and other adverse events. 組織全体のパッチ管理とは、組織全体におけるパッチ、アップデート、アップグレードの識別、優先順位付け、取得、インストール、およびインストールの検証を行うプロセスです。技術への依存度が高まっていることから、パッチ適用の重要性はかつてないほど高まっていますが、パッチ適用の価値については、ビジネス/ミッションオーナーとセキュリティ/技術管理者の間で意見が分かれることがよくあります。本文書では、パッチ適用を、コンピュータ技術の予防的保守の重要な要素、すなわちビジネスを行う上でのコストであり、組織がミッションを達成するために必要なことの一部であると位置づけています。本文書では、組織全体のパッチ管理に影響を与える一般的な要因について説明し、パッチの適用を簡素化して運用するとともに、リスクの低減を図るための組織全体戦略の策定を推奨しています。組織全体のパッチ管理による予防的な保守は、情報漏洩、データの流出、業務の中断、その他の有害な出来事を防ぐのに役立ちます。

 

・[PDF] SP 800-40 Rev. 4

20220408-54750

Executive Summary  エグゼクティブサマリー 
Software used for computing technologies must be maintained because there are many in the world who continuously search for and exploit flaws in software. Software maintenance includes patching, which is the act of applying a change to installed software – such as firmware, operating systems, or applications – that corrects security or functionality problems or adds new capabilities. Enterprise patch management is the process of identifying, prioritizing, acquiring, installing, and verifying the installation of patches, updates, and upgrades throughout an organization.   世の中には、ソフトウェアの欠陥を探し出して悪用する輩が数多く存在するため、コンピュータ技術に使用されているソフトウェアには保守が必要です。ソフトウェアの保守には、ファームウェア、オペレーティングシステム、アプリケーションなど、インストールされているソフトウェアに対して、セキュリティや機能の問題を修正したり、新しい機能を追加したりするための変更を加える行為である「パッチ」が含まれます。組織全体のパッチ管理とは、組織全体におけるパッチ、アップデート、アップグレードの識別、優先順位付け、取得、インストール、検証のプロセスです。 
In past perimeter-based security architectures, most software was operated on internal networks protected by several layers of network security controls. While patching was generally considered important for reducing the likelihood of compromise and was a common compliance requirement, patching was not always considered a priority. In today’s environments, patching has become more important, often rising to the level of mission criticality. As part of a zero trust approach to security, it is now recognized that the perimeter largely does not exist anymore, and most technologies are directly exposed to the internet, putting systems at significantly greater risk of compromise. This dynamic applies across all computing technologies, whether they are information technology (IT), operational technology (OT), Internet of Things (IoT), mobile, cloud, virtual machine, container, or other types of assets. Zero trust architectures emphasize business asset-specific security over just protecting a network with assets on it, so patching is vital for reducing risk to those individual assets and determining the assets’ trust status.  これまでの境界ベースのセキュリティアーキテクチャでは、ほとんどのソフトウェアは、何層ものネットワークセキュリティコントロールで保護された内部ネットワーク上で運用されていました。侵害の可能性を低減するためにはパッチの適用が重要であると一般的に考えられており、一般的なコンプライアンス要件でもありましたが、パッチの適用は必ずしも優先事項とはみなされていませんでした。今日の環境では、パッチ適用の重要性が増し、しばしばミッションクリティカルなレベルにまで達しています。セキュリティに対するゼロトラストアプローチの一環として、境界線はもはやほとんど存在せず、ほとんどの技術がインターネットに直接さらされているため、システムが危険にさらされるリスクが大幅に高まっていることが認識されています。このような状況は、IT、OT、IoT、モバイル、クラウド、仮想マシン、コンテナ、その他のタイプの資産など、あらゆるコンピューティング技術に当てはまります。ゼロトラストアーキテクチャーでは、資産が置かれたネットワークを保護するだけではなく、ビジネス資産に特化したセキュリティを重視しているため、それらの個別資産のリスクを低減し、資産の信頼状態を判断するためには、パッチの適用が不可欠です。
There is often a divide between business/mission owners and security/technology management. Business/mission owners may believe that patching negatively affects productivity, since it requires scheduled downtime for maintenance and introduces the risk of additional downtime if something goes wrong and disrupts operations. Leadership and business/mission owners should reconsider the priority of enterprise patch management in light of today’s risks. Patching should be considered a standard cost of doing business and should be rigorously followed and tracked. Just as preventive maintenance on corporate fleet vehicles can help avoid costly breakdowns, patching should be viewed as a normal and necessary part of reliably achieving the organization’s missions. If an organization needs a particular technology to support its mission, it also needs to maintain that technology throughout its life cycle – and that includes patching.  ビジネス/ミッションオーナーとセキュリティ/技術管理者の間には、しばしば溝があります。ビジネス/ミッションのオーナーは、パッチ適用は、保守のために予定されたダウンタイムを必要とし、何か問題が発生して業務に支障をきたした場合、さらにダウンタイムが発生するリスクがあるため、生産性に悪影響を与えると考えるかもしれません。リーダーシップとビジネス/ミッションのオーナーは、今日のリスクに照らし合わせて、組織全体のパッチ管理の優先順位を再考する必要があります。パッチの適用は、ビジネスを行う上での標準的なコストと考えるべきであり、厳密にフォローし、追跡する必要があります。組織全体の車両の予防的な保守がコストのかかる故障を回避するのに役立つように、パッチ適用は、組織のミッションを確実に達成するために通常必要とされるものと考えるべきです。組織がそのミッションをサポートするために特定の技術を必要とする場合、その技術のライフサイクルを通じて保守を行う必要があり、それにはパッチ適用も含まれます。
Leadership at all levels of the organization, business/mission owners, and security/technology management teams should jointly create an enterprise patch management strategy that simplifies and operationalizes patching while also improving its reduction of risk. This will strengthen organizational resiliency to active threats and minimize business and mission impacts. This publication provides recommendations for enterprise patch management planning. 組織のあらゆるレベルのリーダーシップ、ビジネス/ミッションオーナー、およびセキュリティ/テクノロジー管理チームが共同で組織全体のパッチ管理戦略を策定し、パッチを簡素化して運用するとともに、そのリスク軽減を改善する必要があります。これにより、活発な脅威に対する組織の回復力を強化され、ビジネスやミッションへの影響を最小限に抑えられます。本文書は、組織全体のパッチ管理計画に関する推奨事項を示したものです。

 

Executive Summary エグゼクティブサマリー
1 Introduction 1 はじめに
1.1 Purpose and Scope 1.1 目的と範囲
1.2 Changes from Previous Versions 1.2 旧版からの変更点
1.3 Publication Structure 1.3 本文書の構成
2 Risk Response Approaches for Software Vulnerabilities 2 ソフトウェアの脆弱性に対するリスク対応手法
2.1 Risk Responses 2.1 リスク対応策
2.2 Software Vulnerability Management Life Cycle 2.2 ソフトウェア脆弱性管理のライフサイクル
2.3 Risk Response Execution 2.3 リスク対応の実行
2.3.1 Prepare to Deploy the Patch 2.3.1 パッチを展開するための準備
2.3.2 Deploy the Patch 2.3.2 パッチの展開
2.3.3 Verify Deployment 2.3.3 パッチの展開を確認する
2.3.4 Monitor the Deployed Patches 2.3.4 展開されたパッチの監視
3 Recommendations for Enterprise Patch Management Planning 3 組織全体のパッチ管理計画に関する推奨事項
3.1 Reduce Patching-Related Disruptions 3.1 パッチに関連した混乱の軽減
3.2 Inventory Your Software and Assets 3.2 ソフトウェアと資産の棚卸し
3.3 Define Risk Response Scenarios 3.3 リスク対応シナリオの策定
3.4 Assign Each Asset to a Maintenance Group 3.4 各資産を保守グループに割り当てる
3.5 Define Maintenance Plans for Each Maintenance Group 3.5 各保守グループの保守計画の策定
3.5.1 Maintenance Plans for Scenario 1, Routine Patching 3.5.1 シナリオ1、定期的なパッチ適用のための保守計画
3.5.2 Maintenance Plans for Scenario 2, Emergency Patching 3.5.2 シナリオ2、緊急時のパッチ適用のための保守計画
3.5.3 Maintenance Plans for Scenario 3, Emergency Mitigation
3.5.3 シナリオ3、緊急時対応のための保守計画
3.5.4 Maintenance Plans for Scenario 4, Unpatchable Assets 3.5.4 シナリオ4、パッチ不可能な資産のための保守計画
3.5.5 Exceptions to Maintenance Plans
3.5.5 保守計画の例外事項
3.6 Choose Actionable Enterprise-Level Patching Metrics 3.6 実用的な組織全体レベルのパッチ適用指標の選択
3.7 Consider Software Maintenance in Procurement 3.7 ソフトウェア保守の調達を考慮する
References 参考文献
  Mappings to NIST Guidance and Frameworks   NISTガイダンス及びフレームワークへのマッピング
  Acronyms   頭字語

 


参考

・SP 800-40 Rev.2 (2005) についてはIPAに翻訳がありますね。。。

● IPA - セキュリティ関連NIST文書

・[PDF] SP 800-40 ver.2 Creating a Patch and Vulnerability Management Program パッチおよび脆弱性管理プログラムの策定

● まるちゃんの情報セキュリティ気まぐれ日記

・2022.04.08 NIST SP 1800-31 一般的なITシステムへの組織全体のパッチ適用の改善:既存ツール活用とより良い方法によるプロセスの実行

・2021.11.19 SP 800-40 Rev.4(ドラフト)組織全体のパッチ管理計画のためのガイド:技術についての予防的保守

・2021.11.19 NIST SP 1800-31(ドラフト)一般的なITシステムへの組織全体のパッチ適用の改善:既存ツール活用とより良い方法によるプロセスの実行

・2021.11.19 米国 CISA サイバーセキュリティインシデント対応と脆弱性対応のプレイブックを発表

|

« NIST SP 1800-31 一般的なITシステムへの組織全体のパッチ適用の改善:既存ツール活用とより良い方法によるプロセスの実行 | Main | 米国 MITRE 世界最高水準のサイバーセキュリティオペレーションセンターの11の戦略 (2022.03) »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« NIST SP 1800-31 一般的なITシステムへの組織全体のパッチ適用の改善:既存ツール活用とより良い方法によるプロセスの実行 | Main | 米国 MITRE 世界最高水準のサイバーセキュリティオペレーションセンターの11の戦略 (2022.03) »