Microsoftとアメリカの政府機関「標準技術研究所(NIST)」が合同で、企業組織においてのセキュリティパッチ適用に関した規定ガイドの策定プロジェクトが進行していると公開しました。
このプロジェクトは、セキュリティ製品を提供するベンダーや、パッチの適用についての見識を持つエンドユーザー側の企業や個人も参加でき、NISTがガイド策定の段階でセキュリティ業界企業の支援を受けるケースは非常に珍しいとのことです。
このプロジェクトは2018年よりMicrosoftとNISTが連携し「Critical Cybersecurity Hygiene:Patching the Enterprise Project」と題して本格始動しており、2017年に流行した「WannaCry」や「NotPetya」、「Bad Rabbit」といったランサムウェアによる企業への被害がきっかけでした。
Microsoftは、企業組織内でのコンピュータへのセキュリティパッチ適用状況の調査したところ、セキュリティパッチを適用できたにもかかわらず、実行していなかったことが明らかになっております。
パッチ適用を行っていなかった多くの企業が、手順を定めておらず、バグやクラッシュによってシステムダウンの危険を避けるため作業を遅らせていたと回答していたとのことです。
一部企業においては、オンラインフォーラムでパッチ適用が問題ないかを調べるにとどまる例や、自社の独断でセキュリティパッチの適用を行うかどうかを判断している例なども確認されております。
こうした調査結果からMicrosoftは、業界においてのセキュリティ基準が必要だという結論に至ったとコメントしております。
| 【参考URL】 マイクロソフトとNISTが協力、企業のパッチ適用ガイドを策定へ |