仮想パッチとは？セキュリティパッチとの違いと「現実解」になる条件・判断基準

脆弱性の対策として最も一般的なのがセキュリティパッチの適用です。Windowsであれば、WindowsUpdateが該当します。

脆弱性が発見されると、提供元から修正プログラムであるセキュリティパッチがリリースされます。セキュリティパッチを適用することで脆弱性の対策が可能です。しかしながら、パッチ適用をするということは、正常に動作しているソフトウェアのプログラムを修正することと同義なので、

• 修正による新たなバグ埋め込み
• 新たな脆弱性
• 稼働させているシステムへの予期せぬ影響
• 適用時のサービス停止

などのリスクが発生します。

該当するソフトウェアを利用するユーザーは、パッチ適応をすることが望ましいですが、パッチ適用をしないリスクと、適用するリスクを天秤にかけて適用有無を判断する必要があります。

ちなみに、脆弱性発見からパッチ公開までの間に脆弱性を突いた攻撃をすることを「ゼロデイ攻撃」といいます。攻撃の対処方法がわからない状態での攻撃になるので、非常に大きな脅威になっています。

TrendMicro社のDeepSecurityというサービスでは、脆弱性に対して仮想的なパッチを適用させます。DeepSecurityはサーバーインストール型のサービスです。サーバーにエージェントが常駐して通信を監視し、正常な通信のみを通します。仮想パッチでは、脆弱性に対するセキュリティパッチを常駐するエージェントに自動適用させ、該当する攻撃を遮断することが可能です。

たとえば、HTTPS(443/tcp)などのWEBの通信であれば、WEBサーバーであるApache(httpd)上で処理が行われます。Apacheに脆弱性が発見された場合は、Apacheに対してセキュリティパッチを適用させます。Apache上でシステムが動作している場合は、システムそのものを修正することになるので、動作確認等の作業工数やリスクを考慮し適用有無の判断が必要です。

DeepScurityを使うことで、エージェントに対して自動的にパッチが適用されます。DeepSecurityは、通信経路上にあるだけでシステムとの関連性はありません。そのため、パッチ適用による動作確認等の工数を大幅に削減することができ、素早い脆弱性対策の適用が可能になります。

Q. 仮想パッチとは何ですか？

A. ソフトウェア本体を修正せず、通信レベルで攻撃を遮断する仕組みです。WAFやIPSといった技術で不正なリクエストを検知・ブロックし、脆弱性の悪用を防ぎます。

Q. セキュリティパッチと仮想パッチの違いは？

A. セキュリティパッチは脆弱性そのものを修正する「根本対策」です。一方、仮想パッチは外側で攻撃を防ぐ「暫定対策」です。前者は確実だが適用に時間とリスクが伴い、後者は迅速だが完全防御ではありません。

Q. 仮想パッチはどんなときに「現実解」になりますか？

A. 以下のような条件が揃う場合に有効です。

・システムを停止できない（本番サービス・24時間稼働）

・パッチ適用に検証工数がかかる

・ゼロデイなどで即時防御が必要

このような場合、まず仮想パッチでリスクを抑え、その後に正式パッチを適用する段階的対応が現実的です。

Q. パッチ適用のリスクとは何ですか？

A. 既存プログラムを書き換えるため、不具合の混入や予期しない動作変更が発生する可能性があります。また、適用作業に伴うサービス停止や検証コストも無視できません。

Q. ゼロデイ攻撃とは何ですか？

A. 脆弱性が公開されてから修正パッチが提供されるまでの間に行われる攻撃です。防御手段が確立していない状態で狙われるため、迅速な暫定対策（仮想パッチなど）が重要になります。

Q. 仮想パッチだけで十分ですか？

A. 十分ではありません。仮想パッチはシグネチャベースの防御であり、回避される可能性や未知の攻撃には対応しきれない場合があります。最終的にはセキュリティパッチでの恒久対応が必要です。

Q. 仮想パッチとWAF・IPSの関係は？

A. 仮想パッチは概念であり、その実体はWAFやIPSによるシグネチャ防御です。製品ごとに名称は異なりますが、「通信を監視して攻撃パターンを遮断する」という点は共通しています。

OSやソフトウェアのセキュリティ上の欠陥が「脆弱性」です。脆弱性に対するするために、セキュリティパッチが提供されます。ユーザーはパッチ適用の工数を考慮して、適用有無の判断をする必要があります。

DeepSecurityのような仮想パッチサービスを使うことで、素早く、手間なく、セキュリティパッチ適用と同等の効果を得ることが可能です。