EternalBlueとMS17-010は、これらも素敵なギフトになりつづけそうです。

WannaCryによって様々な叫び声が上がり、私たちは熱狂的にパッチを適用して、脆弱性が減っていくことを見たことでしょう。

私は、15年前から脆弱性を利用したワームが 流行した日々のことをよく覚えていますが、その時代からあまり変わっていないように感じています。

そして、今 NotPetyaが現れました。

WannaCry はキルスイッチ で停止されました。私は Amit Serperらの努力に感謝しています。（Uri Sternfeldやその他のメンバーの貢献があったことも知っています。）

我々には Petyaを停止するワクチンと、新たなMBRを狙った脅威やランサムウェアから保護するための振る舞い技術があります。

しかし、これはなぜこれらの対策が必要なのでしょうか？

私はマルウェアとそのオペレーターを阻止するのことは大好きです。（間違わないでください）

しかし、何故これらの脅威はまだ有効なのでしょうか？

攻撃者は適応性が高く、常に革新的です。

時間と労力を使って、どんなことであっても成功させる方法を見つけ出します。

そのため、競争・進化のレースにおいて、適応できることは守る側にとっても重要ということです。

そのために我々は企業したのですが、攻撃者は多くの革新を行う必要はありません。

Petyaとその派生は全く異なる動機を持っているかもしれませんし、まったく異なるM.O (Modus Operandi, 犯罪の手口)を持っていますが、今は気にしないでください。

私の友人であるRon Moritzが「第八の大陸」と呼んでいるように、なぜ我々は脆弱であり続けるのでしょうか？

それは、パッチを当てないからです。

簡単です。それは、セキュリティの実務者として私たちがパッチを当てることを望んでいないからでしょうか？

それとも、パッチの適用方法がわからないからですか？

いいえ、私たちはそれが必要だと知っています。

なぜ私たちはそれをしないのでしょうか？

いくつかの組み合わせによるものだと疑っています。

まず、私たちは、CISOやセキュリティの実務家としてプロジェクトを実施し、コンプライアンスを示し、予期せぬ課題を解決するなど、忙しい日々を過ごしています。

まだ爆発していない事象や、 静止しているように見える事象に対応するために、時間とエネルギーを見つけることが困難です。

しかし、これだけではすべてを説明できません。

結局のところ、セキュリティは運用上不可欠であるとは見られていません。

新しい利益を生みだすものではなく、プロジェクトやロールアウトやオペレーションを複雑にする可能性があります。

テストや審査がうまくいっても、パッチはビジネスを混乱させる可能性があります。

そしてITにとっての嫌悪感が生まれます。

最終的には、成熟したパッチ管理を実施できていない大多数の企業では、常に大きなバックログ（未適用のパッチ）が存在することになっています。

リスク、悪化、ヘルプデスクのチケット、顧客満足度、従業員の効率性に影響がでることを CIOに伝えなければならない。

そのような否定的なイベントでもなければ、パッチは展開されません。

そのような中、バックログにある致命的な脆弱性、ましてやその先にある他の脆弱性を、多くの会社が減らしていくことはできるのでしょうか？

その希望は、非常に低いです。

Ransomware 攻撃の波から生き残った余韻の中、 一息ついて、リラックスした気分で、そして、いつものようにビジネスに復帰することはとても簡単です。

これが間違いです。

それではチャンスを失っているのです。

セキュリティに携わる者にとって、パッチ適用に対する企業の認識を変えるべき時が来ているのです。

今ではない場合、いつですか？今でしょ？

プロセスを変更し、セキュリティの認識に影響する時が来たのです。

セキュリティに携わる者は、企業にとってのリスク管理者であり、 ITに関する特殊なディーラーではないことを、あなたの同僚達に知らせてください。

管理することで対話を変えていきましょう。

ウィンストン・チャーチルの名言：決して危機を無駄にしないでください！

Sam Curry は Cybereason 社のChief Security Officerです。

※このブログは、2017年5月29日に投稿された抄訳になります。
原文はこちら