仮想パッチとは
ソフトウェアベンダーが提供する本来のセキュリティパッチを早急に適用する事が難しい環境へ、暫定的なセキュリティを担保するためのソリューションです。ルールに基づいて脆弱性を突く攻撃パケットを検知し、ブロックすることにより、お客様の環境を保護します。
仮想パッチのメリット
本来のセキュリティパッチは脆弱性のあるソフトウェアそのものにインストールするため、適用の工数および慎重な事前検証が必要ですが、仮想パッチはルールとしてエージェントに適用されますので、対象のソフトウェアにインストールすることなく、保護可能です。また、予期せぬ事態が生じた場合のロールバックも容易に実現できます。
メーカーのパッチ適用は不要?
仮想パッチを適用した状態でも、ソフトウェア自体の潜在的な問題は残ったままとなり、根本的な解決策とはなり得ません。
さらに、仮想パッチはネットワーク経由の脆弱性のみ対応可能であるため、ローカル上で完結する攻撃手段や、ネットワーク経由の攻撃が可能となる脆弱性であっても具体的な攻撃手法等の情報が確立されていない脆弱性への対応は困難です。
正式なメーカー対応パッチの適用と併用して、仮想パッチをご利用ください。
仮想パッチの各製品上での名称
仮想パッチを、Deep Security 9.0 以降および、Trend Micro Virtual Patch for Endpointでは、「侵入防御ルール」、Deep Security 8.0 以前 および、脆弱性対策オプションでは、「Deep Packet Inspectionルール」(以下DPI)という機能名で提供しています。
侵入防御ルール/DPIルールの効率的な適用方法「推奨設定の検索」機能
対象のサーバのOSやミドルウェアをチェックし必要となるシグネチャー(仮想パッチ)を自動的に適用します。
推奨設定の検索を活用することで、ネットワーク型IDS/IPSに比べて容易な運用ができます。
仮想パッチの対象アプリケーション
Trend Micro Virtual Patch for Endpoint および脆弱性対策オプションでは、Windows自体の脆弱性やMicrosoft Office、Internet Explorerのような一般的なクライアント向けアプリケーションの脆弱性に対応しています。
Deep Securityでは、それに加えてIIS、Apache、BINDのような一般的なサーバアプリケーションの脆弱性にも対応しています。
仮想パッチのライフサイクル
保護対象のOSやミドルウェア等がサポート終了となった後でも、脆弱性の情報が公開されている限り、新たなルールの提供が可能です。
保護対象アプリケーションのサポート終了後にルールを提供し続ける期限等は特に設けておりません
サポート終了後のアプリケーションに関する情報をアプリケーションベンダーが積極的に公開し続ける可能性は低いため、ベンダーによるサポートが終了しているアプリケーションを利用し続けるリスクが高い事をご認識頂き、できる限り早急なアップグレードや代替製品への切り替え等を強くお勧めします。
侵入防御ルール/DPIルールのリクエスト
既存のルールでは対応できない脆弱性からアプリケーションを保護するために新しいルールが必要な場合、サポートセンターへリクエストできます。
ただし、ルールを作成できるのは以下の全ての条件に合致している必要がありますので、ご希望に沿えない場合がある事をご了承ください。
- 保護対象のアプリケーションが一般的に広く流通されており、容易に入手可能
- 該当の脆弱性がCVE(Common Vulnerabilities and Exposures)に登録されているか、もしくは公的機関によって公表されている
- 該当の脆弱性をネットワークから攻撃可能であり、具体的な攻撃手法が確立されている
上記の全てを満たしている場合でも、影響範囲や緊急性等を考慮した結果としてルールを作成する必要が無いと判断した場合や、ルールベースでの保護が技術的に困難な場合には作成をお断りさせて頂きます。予めご了承ください。
| |