Reading Time: 1 minutes
こんにちは。ManageEngineコンテンツ担当の園部です。
今月もPatch Tuesdayがやってきました!
先月に大きな話題となった脆弱性「PrintNightmare」の対応に追われているシステム管理者様も多いかと思いますが、早くも新たな月例パッチが配信されました。
2021年8月度のMicrosoftセキュリティ更新プログラムの概要を解説いたします。
MicrosoftのアップデートからMicrosoft製品以外のアップデートまで徹底的に管理するソリューションについてもご紹介していますので、ぜひ最後までご覧ください。
月例のセキュリティ更新プログラムとは?
Microsoft社が毎月第2火曜(日本時間で水曜日の場合もあります)に公開する、OSやその他の関連アプリケーションのセキュリティアップデートやその他アップデートのことを指します。
世界的には「パッチチューズデー(Patch Tuesday)」と呼ばれることもあります。
2021年8月度のMicrosoftセキュリティ更新プログラムの概要
Microsoft社は今月、44件の脆弱性に対するセキュリティ修正プログラムを公開しました。そのうち7件が「緊急」、37件が「重要」に分類されています。
今月リリースされたセキュリティアップデートは以下の通りです。
- .NET Core & Visual Studio
- ASP .NET
- Microsoft Dynamics
- Microsoft Office
- Microsoft Scripting Engine
- Microsoft Windows Codecs Library
- Remote Desktop Client
- Windows Defender
- Windows Media
- Windows MSHTML Platform
- Windows Print Spooler Components
3件のゼロデイ脆弱性のパッチ
今月は3件のゼロデイ脆弱性に対するパッチがリリースされました。そのうち1件は既に頻繁に悪用されていると報告があります。
3件の脆弱性は以下の通りです。
| 脆弱性の概要 | KB番号 | 影響度 | 影響を受けるコンポーネント | 概要 | 参考URL |
| CVE-2021-36936 | 5005030 5005031 5005033 5005040 5005043 5005076 5005088 5005089 5005090 5005094 5005095 5005099 5005106 |
緊急 | Windowsプリントスプーラーコンポーネント | リモートコード実行の脆弱性 | https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-36936 |
| CVE-2021-36948 | 5005030 5005031 5005033 |
重要 | Windows Update Medicサービス | 特権昇格の脆弱性
※悪用の報告あり |
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-36948 |
| CVE-2021-36942 | 5005030 5005033 5005043 5005076 5005088 5005089 5005090 5005094 5005095 5005099 5005106 |
重要 | Windows LSA | スプーフィングの脆弱性 | https://msrc.microsoft.com/update-guide/ja-JP/vulnerability/CVE-2021-36942 |
影響度が緊急の脆弱性とパッチ
今月リリースされた重要度が「緊急」の脆弱性の概要と対応するパッチは以下の通りです。
| 脆弱性の概要 | KB番号 | 影響を受けるコンポーネント | 概要 | 参考URL |
| CVE-2021-34530 | 5005030 5005031 5005033 5005040 5005043 |
Microsoft Graphics コンポーネント | リモートコード実行の脆弱性 | https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-34530 |
| CVE-2021-34480 | 5005030 5005031 5005033 5005036 5005040 5005043 5005076 5005088 5005099 |
Microsoft Scripting Engine | メモリ破壊の脆弱性 | https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-26419 |
| CVE-2021-34535 | 5005030 5005031 5005033 5005040 5005043 5005076 5005088 5005089 5005094 5005099 5005106 |
Remote Desktop Client | リモートコード実行の脆弱性 | https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-34535 |
| CVE-2021-34534 | 5005030 5005031 5005033 5005040 5005043 |
Windows MSHTMLプラットフォーム | リモートコード実行の脆弱性 | https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2021-31194 |
| CVE-2021-36936 | 5005030 5005031 5005033 5005040 5005043 5005076 5005088 5005089 5005090 5005094 5005095 5005099 5005106 |
Windowsプリントスプーラーコンポーネント | リモートコード実行の脆弱性 | https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-36936 |
| CVE-2021-26432 | 5005030 5005031 5005033 5005040 5005043 5005076 5005094 5005099 5005106 |
Windows Services for NFS ONCRPC XDR Driver | リモートコード実行の脆弱性 | https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-26432 |
| CVE-2021-26424 | 5005030 5005031 5005033 5005040 5005043 5005076 5005088 5005089 5005090 5005094 5005095 5005099 5005106 |
Windows TCP/IP | リモートコード実行の脆弱性 | https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-26424 |
サードパーティのアップデート
Adobe・Cisco・SAP・VMwareなどのサードパーティベンダーが、2021年7月度の月例パッチのリリース後に重要なアップデートを実施しています。
テレワークとオフィスワーク混在環境におけるパッチ管理のヒント8選
2020年以降、テレワークを導入した多くの組織では、オフィスへの出勤が可能になった後もテレワーク業務が可能と言われています。テレワークによって分散したエンドポイントは、管理やセキュリティの観点から情報システム部門に引き続き課題をもたらします。
ここでは、テレワークとオフィスワーク混在環境におけるパッチ管理を効率化するためのヒントをご紹介します。
- 自動更新を無効化
欠陥のあるパッチたった1つによってシステム全体が停止する可能性もあるため、アップデートの自動更新設定を無効化しましょう。情報システム部門は、エンドユーザのマシンで自動アップデートを無効にする方法について周知を行う必要があります。 - パッチ適用前にバックアップ・OSイメージの作成
毎月の月例パッチのような大規模なアップデートを展開する前に、マシンのバックアップやOSイメージ等を作成しておくことをおすすめします。 - パッチ適用のスケジュールを設定しエンドユーザに通知
パッチの適用とシステムの再起動を行う時間を予め定めておくのがおすすめです。問題なくパッチを適用するためには、エンドユーザが何をすべきかを周知する必要があります。 テレワーク環境下では多くのユーザーがオフィス以外の場所で仕事をしているため、それぞれが異なる時間帯に仕事をしている可能性があります。このような場合、エンドユーザーの業務を中断することがないよう、ユーザーの都合に合わせてアップデートすることを許可することも必要です。 - 本番環境にパッチを適用する前に、テスト環境でパッチをテスト
アップデート内容が既存の環境や他のアプリケーションの動作に影響を与えないことを確認するため、全体へのパッチ適用前にテスト環境でパッチをテストすることが望ましいでしょう。 - 優先順位を元にしたパッチ適用
テレワーク環境下において多くの組織ではVPN経由でパッチを適用します。パッチ関連の作業がVPNの帯域幅を圧迫しないように、重要なパッチやセキュリティアップデートを先にインストールしましょう。feature packsや累積更新プログラムは容量が大きなアップデートになりやすく、帯域幅を多く消費するため、VPN経由でのデプロイを控えた方がよいでしょう。
また、セキュリティアップデート以外のアップデートや、緊急と評価されていないセキュリティアップデートは、月例パッチ配布直後ではなく、例えば月の第3週または第4週に展開するようにスケジュールするのも良いでしょう。また、ユーザーの環境では必要ないと思われる特定のアップデートを停止することも検討できます。 - エンドポイントの状況を把握
エンドポイントのパッチ適用状況を確認するため、状況を把握できるレポートなどを作成しましょう。 - オフィスネットワーク接続前に機器の状況を確認
テレワークで業務をした後にオフィスネットワークに接続するユーザーのマシンについて、セキュリティポリシーに準拠しているかどうかを確認します。そうでない場合は、ポリシーに準拠するまで隔離するようにし、最新のプログラムとFeature Packsのインストールや、ポリシーに反するアップデートやアプリケーションを削除するなどの対応を実施します。
テレワークの社員とオフィス勤務の社員が混在する環境では、情報システム部門がすべきことが多くなりやすく、手動での完璧なエンドポイント管理は難しいと言えます。
ManageEngineでは、テレワークの普及によりセキュリティ面の危険性も高まる中、これからも安全にテレワークを継続するために、情報システム部門が行うべきセキュリティ対策と、それを効率的に実践する方法を解説したセミナーを開催しています。
パッチ配布の自動化を実現する機能などについて、デモンストレーションを交えながら解説いたしますので、テレワーク環境のセキュリティ面の課題解決にぜひお役立てください。
また、セキュリティアップデートの管理ツールをお探しの方は、是非ManageEngineのパッチ管理製品をご検討ください。
セキュリティアップデート管理のスタートダッシュを決めるならPatch Manager Plus
【Patch Manager Plus 概要資料のダウンロードはこちら】
【Patch Manager Plus 評価版のダウンロードはこちら】
パッチ管理ツール「Patch Manager Plus」
セキュリティアップデート管理のほかソフトウェア配布・モバイルデバイス管理(MDM)も実施するならDesktop Central
【Desktop Central 概要資料のダウンロードはこちら】
【Desktop Central 評価版のダウンロードはこちら】
統合エンドポイント管理ツール「Desktop Central」
フィードバックフォーム
当サイトで検証してほしいこと、記事にしてほしい題材などありましたら、以下のフィードバックフォームよりお気軽にお知らせください。