パッチ管理.

パッチ管理は、脆弱性の公開から確認済みの修正までのライフサイクル全体をカバーし、OS・ファームウェア・アプリ・コンテナ・依存ライブラリにまたがります。成熟した運用では、悪用可能性データ(CVSS、EPSS、KEV)、業務上の重要度、補完統制をもとに優先度を決め、段階的なリング展開で運用リスクを抑えます。自動化、変更ウィンドウ、ロールバック計画、深刻度別の SLA は不可欠です。

致命的な隙は「パッチ公開」と「展開」の間にある

パッチが存在するだけでは誰も守られません。適用して初めて守られ、その間隙こそ侵害が起きる場所です。

• Equifax(2017 年): Apache Struts の脆弱性 CVE-2017-5638 は 2017 年 3 月 7 日に修正されましたが、攻撃者は 3 月 10 日ごろから未適用の Equifax ポータルを悪用し始め、修正が一度も適用されなかったため、7 月末まで約 1 億 4,700 万人分のデータが流出しました。
• WannaCry(2017 年 5 月): マイクロソフトは 2017 年 3 月 14 日に MS17-010 を公開し、流出した EternalBlue が悪用した SMBv1 の脆弱性(CVE-2017-0144)を修正しました。その 2 か月後、適用していなかった組織――英国 NHS の一部を含む――はワーム的に拡散するランサムウェアで機能停止に陥りました。
• Log4Shell(CVE-2021-44228、2021 年): 遍在するロギングライブラリにおける極めて容易に悪用可能な RCE は、なぜ今やリアルタイムのソフトウェア部品表(SBOM)がパッチ管理の一部なのかを示しました。

成熟した運用の優先順位付け

すべてを一度に修正できるチームは存在しないため、現代の運用は CVSS の深刻度だけでなく「悪用される確率」で作業を並べ替えます。CISA の 既知の悪用脆弱性(KEV) カタログ(2021 年 11 月開始)と FIRST の EPSS 確率スコアにより、現に攻撃を受けている少数の脆弱性を優先でき、通常の修正はロールバック計画を備えた段階的なリングで進みます。

flowchart LR
  A[脆弱性の公開 / CVE] --> B[資産インベントリ + SBOM:<br/>影響を受けるか?]
  B --> C[優先度付け:CVSS + EPSS + KEV<br/>+ 業務重要度]
  C --> D[パイロットリングで検証]
  D --> E[段階展開:<br/>一般 → 本番]
  E --> F[再スキャンで確認]
  F -->|失敗 / 回帰| G[ロールバック + 補完統制]
  G --> D