リスクに基づくパッチの優先順位付け

パッチ管理は、効果的なサイバーセキュリティの基本です。では、なぜ多くの企業がいまだにパッチの優先順位付けと実装に苦労しているのでしょうか。

アタックサーフェスの規模と複雑さを考慮すると、どの組織にとっても常にすべての脆弱性を適切に管理することは現実的ではありません。 パッチの優先順位付けにより、最も重大な脆弱性が最初に対処され、リソースの使用が最適化され、セキュリティリスクが最小限に抑えられます。

しかし、パッチ管理に関しては、Ivantiの調査によると『すべてが優先事項』となっていて、ほぼすべてのセキュリティ専門家が、リストされたすべての要因を「中程度」または「高」の緊急度と評価しています……しかし、すべてが優先事項となると、結局は何も優先事項ではなくなってしまいます。

ベンダーは、新たに発見された脆弱性の潜在的な影響と緊急性を顧客に注意喚起するために、独自の深刻度評価を適用することがよくあります。 残念ながら、これらの評価には業界標準が存在しないため、企業はこれらの孤立した推奨事項に基づいてパッチのリリースを比較し、優先順位を付けるしかありません。 この上に、評価は脆弱性が変化してもアクティブな脅威の環境に対応するために更新される事が先ず無いのです。

したがって、サイバーセキュリティ専門家の39%がリスクの修復とパッチの導入の優先順位付けに苦労していると回答し、35%がパッチの適用に関するコンプライアンスの維持に苦労していると回答していることも驚きではないのです。

この『すべてが優先事項』というアプローチは、効果的でも持続可能でもありません。

パッチ管理の最も効果的なアプローチは、リスクベースの脆弱性管理原則に基づくリスクベースの優先順位付けです。 この方法では、ベンダーの深刻度評価や基本的なCVSSスコアのみに依存するのではなく、例えば、脆弱性の利用可能性、資産の重要性、および潜在的な事業への影響など、実際の要因を考慮します。

組織は、特定の環境に実際に最大の脅威をもたらす脆弱性に重点的にパッチを適用します。 この戦略的アプローチにより、チームは最も重要なセキュリティ上のギャップに最初に対処し、全体的なセキュリティ体制を強化しながら、限られたリソースをより有効に活用することができます。

サイバーセキュリティ専門家の大半 (87%) は、十分な情報に基づいてセキュリティに関する意思決定を行うのに役立つ重要なデータにアクセスできていません。

企業がリスクベースの意思決定を行うためには、組織全体にわたるリアルタイムで信頼性の高いデータへのアクセスが必要ですが、Ivantiの調査によると、かなりの割合の企業がこれに対応できていないことが明らかになっています。

Ivantiの調査では、企業が十分な情報に基づいてセキュリティに関する意思決定を行うことを妨げる最も一般的なデータギャップが明らかになっています。

• 可視性におけるギャップ：45%の企業が、シャドーITなどのデータの盲点を報告しており、アタックサーフェスを監視するセキュリティ専門家にとって深刻な課題となっています。


• 文脈情報の不足：41%の企業が、自社のシステムを脅威攻撃者にさらしている脆弱性に関する文脈データが不足していると指摘しています。


• コンプライアンスのギャップ：3分の1以上の組織 (37%) が、パッチ構成、コンプライアンス状態、パッチSLAの達成に関連する盲点があると報告しています。

これらのギャップは深刻な影響を及ぼします。 AIと自動化は、セキュリティに関する意思決定と業務効率の向上に役立つ解決策としてよく挙げられます。しかし、データにおけるギャップは、包括的なデータセットを分析して正確な洞察を生成するAIの能力を著しく制限しており、情報に基づいた証拠に基づく意思決定を行う上での大きな障壁となっています。

サイロ化されたデータ、アクセス不能なデータ、欠落したデータはすべて、継続的で永続的なデータ品質のトラブルの原因となり、これはAIツールでは解決できない問題です。 実際、37%がサイバーセキュリティにAIツールを使用する上での大きな障壁として「データ品質の問題」を挙げているのです。

セキュリティ専門家の報告によると、ITチームとセキュリティチームの間には、組織的なサイロが広がっているとのことですが、これは、相互連携が不十分な技術スタックと、両チーム間の文化的な隔たりによって引き起こされています。

40%の組織が、ITチームとセキュリティチームが使用するツールが異なることが、2つのグループ間の摩擦の原因になっていると報告しています。しかし、この技術格差は問題の一部にすぎません。

Ivantiの調査によると、ITチームとセキュリティチームの間で文化的な不一致と戦略的な不一致が存在し、これが意思決定を妨げていることが示されています。 具体的には、セキュリティ専門家たちの間では以下のようなことが示されています：

• 46%は、ITチームがサイバーセキュリティの問題に対処する際の緊急性が不足していると考えています。


• 40%は、ITチームが組織のリスク許容度を十分に理解していないと指摘しています。

これらの不一致は、特にパッチ管理の分野で顕著です。 セキュリティチームは、脅威にさらされる時間を最小限に抑えるために、パッチの迅速なテストと展開に重点を置くことがよくあります。一方、ITチームは、業務機能への影響（例えば、潜在的なダウンタイムや生産性低下など）とこれらの修復作業のバランスを取る必要があります。 この押し引きのダイナミクスは、パッチ適用サイクルに関する意見の相違を引き起こす可能性があり、セキュリティ部門はスピードを重視し、IT部門は安定性を必要としています。

さらに問題を複雑にしているのは、『すべてが優先事項』という考考え方が、適切なテストを行う前にパッチを導入するようITチームに圧力をかけることがあり、システム障害、予期しないダウンタイム、または更新のロールバックが必要になるリスクが高まることです。

このような組織のサイロと優先順位の不一致が相互に作用することで、コミュニケーションが分断され、パッチ管理の責任の所在が不明確になることがよくあります。これらはすべて、パッチの優先順位付けの非効率性と、セキュリティの脆弱性が増加する原因となります。

今日の高度な脅威に対処するためには、継続的かつ積極的な監視と対応が不可欠です。 AIと自動化が今後進むべき道です。

AIと自動化ソリューションは、高度な脅威アクターに対抗する手段を組織に提供します。

• 優先順位の変革：AIは大量のデータを合成し、組織全体の脅威コンテキストとリスクコンテキストに基づいて脆弱性を分析します。


• 修復の効率化：インテリジェントなシステムは、パッチ適用ワークフローを自動化します。これにより、セキュリティチームとITチームの間に存在する運用上のギャップを解消し、パッチ適用プロセスにおけるコストのかかる非効率性を軽減することができます。

2025年は、企業がようやくAIを活用できるようになる年かもしれません。セキュリティの専門家に「24カ月後にAIをより効果的に活用するのは、脅威アクターとセキュリティチームのどちらだろうか」と尋ねたところ、回答者の半数以上 (53%) が、セキュリティチームがAIをより効果的に活用するようになると回答したのに対し、脅威アクターがそれを有利に活用すると答えたのは21％でした。

AIが防御側に優位性をもたらす可能性については楽観的な見方が広がっていますが、組織がこの変革の可能性を実現するためには、まず規制や人材、資金面での大きなハードルを乗り越える必要があります。 セキュリティ専門家は次のように報告しています：

• 48%は、規制上の障害とデータプライバシーに関する障害を指摘しています。


• 46%は、高度なAI技術を導入するための適切な人材が不足していると報告しています。


• 46%は、AIツールのコストが導入を妨げていると不満を述べています。

Ivantiが調査した組織のうち、AIと自動化が非常に効果的であることが証明されているシナリオ (ITの予測メンテナンス、使用状況/トラフィックの異常の検出、インシデント対応プロセスの自動化) にAIと自動化を使用している組織が半数に満たないのも不思議ではありません。

このレポートは、2024年10月に2,400人以上の経営幹部、ITおよびサイバーセキュリティの専門家を対象に実施された調査に基づいています。 この調査はRavn Researchによって実施され、パネリストはMSI Advanced Customer Insightsによって募られました。 調査結果は重みづけによって調整されていません。 調査データのより詳細な分析は、Ivantiのレポート「2025年 サイバーセキュリティの現状：パラダイムシフト」 を参照してください。