ネット管理者

Microsoft Patch Tuesdayとは何ですか?

Microsoft パッチ火曜日チュートリアル



Windows コンピュータ ユーザーであれば、更新プログラムのインストールを完了するにはデバイスを再起動する必要があることを知らせる通常のポップアップや通知に慣れているでしょう。または、より都合の良い時間に再起動をスケジュールするように指示します。これらの更新プログラムは通常、特別な日に Microsoft によってリリースされます。火曜日のパッチ

Patch Tuesday (Update Tuesday とも呼ばれる) は、Microsoft が Windows オペレーティング システム、Microsoft Office、その他の Microsoft ソフトウェア アプリケーションなどのソフトウェア製品のソフトウェア パッチを定期的にリリースする時期を指す非公式の用語です。パッチ火曜日は、北米では毎月第 2 火曜日、場合によっては第 4 火曜日に行われます。



Microsoft は、これらのパッチがリリースされる時期を保証していません。ただし、ここ数年のパターンでは、アップデートは通常、太平洋標準時 (UTC-8) の午前 10 時頃に到着しますが、その日の後半にリリースされる場合もあります。更新プログラムは、Windows Update (WU) に追加される前にダウンロード センターに表示されます。これらのパッチは、脆弱性を引き起こす可能性のあるソフトウェア アプリケーションのバグを修正し、Microsoft アプリケーションのセキュリティを向上させるためにリリースされています。これらの脆弱性のほとんどは外部の研究者によって発見され、彼らは責任を持ってマイクロソフトに報告します。 Microsoft バグ報奨金プログラムMicrosoft セキュリティ レスポンス センター 報告された脆弱性を調査し、セキュリティ リスクの軽減に役立つソリューションを提供します。

Patch Tuesday の背後にある主なアイデアは、Windows 管理者が不規則なスケジュールでリリースされる更新プログラムの処理に苦労する必要がないように、更新プロセスを可能な限り予測可能にすることです。これにより、テストとインストールの計画を立てることができます。 Adobe や Oracle などの他の企業も、システム管理者にとってパッチ管理を容易にするために、同じパッチ火曜日スケジュールを採用しています。



小規模なアップデートは、特に緊急かつ重要な場合、他の時間 (帯域外) にリリースされることがよくあります。

関連記事: 最高の部品管理ツール

すべてはどのように始まったか

Windows 98 は、オペレーティング システムの更新を確認してインストールするオプションを備えた最初の Microsoft オペレーティング システムです。この期間中、2003 年 10 月に毎月第 2 火曜日が「更新日」として選択されるまで、Microsoft 製品の更新プログラムは不定期かつランダムなタイミングでリリースされ、現在業界でパッチ チューズデーとして知られるようになりました。

これらのソフトウェア パッチを不定期にリリースおよび配布するプロセスでは、Microsoft と組織、特に多数の Windows マシンを使用する組織では、多大な費用、時間、労力がかかります。各 Windows マシンを個別に手動で更新することが、どれほど時間がかかるか想像できるでしょう。 Microsoft は、パッチ配布コストを削減するために「Patch Tuesday」を導入しました。新しいアプローチでは、セキュリティ パッチを 1 か月にわたって蓄積し、毎月第 2 火曜日にすべてのパッチを配信することができます。

Patch Tuesday が登場する前は、アップデートは準備ができたときに (準備ができたら出荷)、事前の警告やアナウンスもなくリリースされました。これにより、修正プログラムはほぼ即座に公開されるようになりましたが、Windows 管理者やユーザーにとっては、累積的な更新プログラムを適用するために 1 回の再起動ではなく、新しい更新プログラムを適用するためにコンピューターを数回再起動しなければならない場合があり、負担となっていました。

Microsoft によると、火曜日が選ばれた理由は次の 2 つです。

  • 前の週末に発生した可能性のある予期せぬ問題に対処するための日 (月曜日) をユーザーに提供するため。
  • ユーザーに更新をテストしてデバイスに展開するための十分な時間を与え、週の残りの期間に発生する可能性のある問題に対応するため。

どうしてそれが重要ですか?

Patch Tuesday は、Windows ユーザーと管理者にとって大きな話題になりました。デスクトップとサーバーの最新のセキュリティ更新プログラムを入手することは、毎月の楽しみになるはずです。これらの更新はシステムとサーバーの全体的な健全性にとって重要であり、不可欠です。すべての組織は、パッチ火曜日にパッチを適用することが推奨されます。何でこれが大切ですか?

ソフトウェアの更新は、システム全体の健全性にとって重要です。強力なセキュリティは、すべての組織、特に個人情報などの機密データを保存またはアクセスするシステムを使用している組織にとって不可欠です。アップデートされていないオペレーティング システムやその他のアプリケーションは、サイバー攻撃に対して脆弱になる可能性があります。攻撃者は、古いシステムを悪用することがよくあり、パッチは入手可能であるが適用されていない脆弱性を悪用します。このため、Microsoft はお客様にパッチ適用を優先することをお勧めします。パッチを適用すると、オペレーティング システムとその上で実行されるソフトウェア アプリケーションの効率を向上させながら、潜在的なバグやセキュリティ ホールを修正できます。

最も重要なセキュリティ更新プログラムと、重大なバグや脆弱性を修正するパッチは、パッチ火曜日にリリースされます。ゼロデイ脆弱性であっても、脆弱性が重大で悪用される場合を除き、パッチ チューズデー中に修正されます。その場合、その特定の脆弱性に対処するためにアウトオブバンド セキュリティ アップデートがリリースされます。多くの悪用イベントは、パッチのリリース直後に発生します。実際、パッチ火曜日の翌日はエクスプロイト水曜日としてよく知られています。攻撃者は、パッチをリバースエンジニアリングして根本的な脆弱性を特定し、その脆弱性を悪用する方法を作成する方法を見つけ出しました。その後、この機会を利用して、前日のパッチを更新していないコンピュータを攻撃します。

パッチが適用されていなかったため、 WannaCry ランサムウェア攻撃 2017 年 5 月に起こった事件は急速に広がりました。 Microsoft は以前に WannaCry の脆弱性を解決するパッチをリリースしていましたが、その拡散の多くは、パッチを適用していないか、サポートが終了した古い Windows システムを使用している組織からのものでした。これらのパッチは組織のサイバー セキュリティにとって重要ですが、運用を中断しない必要があるため、多くは適用されませんでした。

何がリリースされているかをどうやって知ることができますか?

Microsoft は、Windows (デスクトップおよびサーバー エディション)、Office、および関連製品のセキュリティ関連の更新プログラムを毎月第 2 火曜日にリリースします。毎月第 4 火曜日は、セキュリティに関連しない更新のために予約されています。場合によっては、Microsoft は重大なセキュリティ問題に対して、いわゆる「帯域外」アップデート (通常の火曜日のアップデート ルーチン以外の日にリリースされるアップデート) をリリースすることがあります。通常、これはセキュリティ問題が非常に深刻で、実際に積極的に悪用されている場合にのみ発生します。

火曜日のパッチは、月の第 3 週と第 4 週にそれぞれ発生する「C」および「D」リリースと区別するために、Microsoft 内では「B」リリースとしても知られています。 「C」および「D」リリースにはセキュリティ以外の更新プログラムのみが含まれており、来月の Update Tuesday リリースに向けて計画されているセキュリティ以外の修正の可視性とテストを提供することを目的としています。これらのアップデートは、翌月の「B」または Update Tuesday リリースの一部として出荷されます。

Microsoft が発行するすべてのセキュリティ更新プログラム (パッチ チューズデーであれ、アウトオブバンド リリースであれ) には、 セキュリティ勧告とセキュリティ情報 によって出版されているもの Microsoft セキュリティ レスポンス センター (MSRC) ほぼ同時にアップデートがリリースされます。 MSRC は、ユーザーがセキュリティ リスクを管理し、システムを保護し続けることを支援する継続的な取り組みの一環として、これらのドキュメントをリリースします。セキュリティ アドバイザリとセキュリティ情報は次の主要な項目で構成されています。

  • セキュリティ情報の概要 : MSRC が毎月リリースするセキュリティ情報の概要を説明します。この概要は、ユーザーが毎月のセキュリティ更新プログラムの優先順位を付けるのに役立つ情報を提供します。
  • セキュリティ速報 : 利用可能な緩和策の説明と、更新に関する詳細情報を含むナレッジ ベース (KB) 記事を提供します。
  • セキュリティ勧告 : セキュリティ情報は必要ないかもしれないが、ユーザー全体のセキュリティに影響を与える可能性のあるセキュリティ変更に対処します。各アドバイザリには、アドバイザリのリリースとともに配信される更新プログラムに関する追加情報を提供する Microsoft KB 記事が付属しています。
  • Microsoft 脆弱性調査 (MSVR) アドバイザリー : Microsoft または外部の研究者がサードパーティ製品で発見し、Microsoft が影響を受けるベンダーに開示したセキュリティの脆弱性について説明します。

脆弱性は、Common Vulnerabilities and Exposures (CVE) として知られる識別システムを使用して記述されます。 CVE など CVE-2021-31184 そして CVE-2021-30540 は、公的にリリースされたソフトウェア パッケージの公的に知られている情報セキュリティの脆弱性を表す一意の共通識別子です。各パッチ バンドルの詳細は、対処するセキュリティ問題によって異なります。各パッチ バンドルの詳細については、次の Web サイトを参照してください。 Microsoft の MSRC セキュリティ更新ガイド

どの更新が最も重要かをどのようにして知ることができますか?

すべての脆弱性の重大度および関連するリスク レベルが等しいわけではありません。パッチが適用された各脆弱性に関連するリスクをユーザーが理解できるように、Microsoft は 重症度評価システム これは、その脆弱性が悪用された場合の理論上の最悪の結果に従って各脆弱性を評価します。重大度の評価は次のように説明されます。

  • 致命的 : 「緊急」とマークされた脆弱性は、その脆弱性が悪用されると、ユーザーの介入なしでコードが実行される可能性があることを意味します。例には、ワームなどの自己増殖型マルウェアが含まれます。 Microsoft では、重要な更新プログラムがリリースされたらすぐに適用することをユーザーに推奨しています。
  • 重要 : 「重要」とマークされた脆弱性は、その脆弱性が悪用されるとユーザー データの機密性、可用性、完全性 (CIA) が侵害される可能性があることを意味します。例には、データを盗むランサムウェアやその他のマルウェアなどのサービス拒否攻撃が含まれます。 Microsoft では、ユーザーが重要な更新プログラムをできるだけ早く適用することをお勧めします。
  • 適度 : 「中程度」とマークされた脆弱性は、認証要件やデフォルト以外の構成にのみ適用されるなどの要因によって影響が大幅に軽減されることを意味します。 Microsoft はユーザーにセキュリティ更新プログラムの適用を検討することを推奨します。
  • 低い : 「低」とマークされた脆弱性は、影響を受けるコンポーネントの特性によってその影響が軽減されることを意味します。このタイプの脆弱性では、通常、広範な対話または異常な構成が必要です。 Microsoft では、影響を受けるシステムにセキュリティ更新プログラムを適用するかどうかをユーザーが評価することをお勧めします。

脆弱性の重大度の評価は、その発生の可能性とは異なります。発生の可能性を評価するには、 Microsoft エクスプロイト可能性インデックス Microsoft セキュリティ アップデートで解決された脆弱性が悪用される可能性に関する追加情報を提供します。 Microsoft では、システム管理者が自身の環境を評価し、システムを保護し続けるためにどの更新が必要かを決定することをお勧めします。

リスク要因と考えられる軽減策

Patch Tuesday でパッチを適用することは、コンピュータ システムとサーバーの全体的な健全性にとって重要であるのと同じくらい重要ですが、特に多数の Windows システムとカスタマイズされたアプリケーションを使用する組織にとって、課題やリスクがないわけではありません。多くの組織は、関連するリスクを理由に、パッチ火曜日にパッチを適用することに抵抗を感じています。

Patch Tuesday アップデートは、より多くの問題や複雑さを引き起こす可能性があるため、ほとんどの Windows 管理者にとって頭痛の種とみなされています。パッチはサードパーティ ソフトウェアや Microsoft 独自のソフトウェアと互換性がない場合があり、システムの誤動作やダウンタイムにつながる可能性があります。今日の脅威の状況を見ると、確立された「Exploit Wednesday」攻撃が証明しているように、ゼロデイ攻撃は速度と巧妙さの両面でここ数年で急激に増加しています。

Christopher Budd (元 Microsoft Security Response Center 従業員) によると、「Microsoft が『準備ができたら出荷』モデルから離れ始めたとき、人々を必要以上に長く攻撃に対して脆弱な状態にしておいているという多くの批判がありました。」特にゼロデイ状況があり、人々が「アウト・オブ・バンド」リリースを求めるときはそうだ。 「そのような状況では、構造化されたプロセスの利点と、脆弱性が攻撃にさらされる時間が長くなるという問題が衝突します。」これにより通常、脆弱性が公開されてからパッチが利用可能になるまでの期間、つまり暴露期間が長くなります。

火曜日のパッチは、適切に処理されない場合、組織のインターネット帯域幅に影響を与える可能性もあります。これは、多くのワークグループ ネットワークや一部の中小企業で見られるような、帯域幅に制約のある共有接続を介して多くのマシンが更新を個別に取得する環境で特に顕著です。では、これらの危険因子にどのように対処すればよいのでしょうか?

何よりもまず、Windows 管理者として、パッチを実稼働システムに適用する前に、ラボまたはサンドボックス環境でパッチをテストし、システムとの互換性があることを確認することをお勧めします。さらに、Microsoft は次のツールを提供しています。 Windows サーバー更新サービス (WSUS) これを使用して、パッチの制御されたロールアウトを提供できます。これにより、テスト環境と運用環境へのパッチの展開の管理が容易になります。

組織のインターネット帯域幅への影響を最小限に抑えるために、WSUS ツールを使用して更新プログラムをローカルに配布できます。これにより、多数のコンピュータにパッチを適用するための帯域幅の需要が大幅に軽減されます。 WSUS に加えて、Windows 10 コンピューターは、ローカル ネットワーク上の他の Windows 10 コンピューター、またはインターネット上の Windows 10 コンピューターとピアツーピア方式で更新プログラムを「共有」できます。これにより、従量制課金接続を使用するネットワークの使用量を削減しながら、アップデートをより迅速に配布することができます。

^