Cover Image

バージョンアップする 122 のセキュリティ上の理由 - そして、これからも!

2024/4/23 - 読み終える時間: 7 分

122 Security Reasons to Upgrade - And More to Come! の翻訳版です。


バージョンアップする 122 のセキュリティ上の理由 - そして、これからも!

2024年4月22日

著者: Thomas Hampel / Director of Product Management, Domino, HCLSoftware

テクノロジーが光速で進化する今日のデジタル環境では、ソフトウェアのアップデートは、あらゆるデジタル製品の効率性、機能性、セキュリティを確保するための要となっています。

親しみやすさや安定性から、旧バージョンのソフトウェアに固執したくなるかもしれませんが、そうすることのリスクはメリットをはるかに上回ります。相互接続された世界では、永遠に安全でセキュアなものはありません。

これが、HCLSoftware が Domino v11 以降、既知の脆弱性に対処し、Domino 環境の全体的なセキュリティを強化する 122 の新しいセキュリティアップデートをリリースしてきた理由です。

毎日新しい脆弱性が検出され、2023年だけでも 29,065件の脆弱性が検出されています。中には、ソフトウェアが公開されてから何年も経ってから発見されたものもあります。

HCLSoftware では、現在サポートされているバージョンの Domino ファミリーのセキュリティ改善を、3 つの柱に焦点を当てて管理しています。

一般的な脆弱性と暴露 (CVE)

  • このタイプの脆弱性の例として、Log4Shell の脆弱性に関する以下のレビューをご覧ください。

Java などの継承されたサードパーティコンポーネントの最新化

  • これらの依存関係の多くは、ここで強調したように、v9 と v10 ではサポートされなくなっています。例えば、GSKit は HTTP、SMTP、IMAP、POP などの TLS/SSL などのインターネットプロトコルの暗号化に使用されるライブラリです。

改善とベストプラクティス

  • 例えば、パスキー、OIDC 認証など、製品をよりセキュアにする業界トレンドの追加などです。

このブログポストでは、ソフトウェアのバージョンアップがなぜ重要なのか、特に古いバージョンやサポートされていないバージョンを使い続けることに関連する重大なセキュリティリスクに重点を置いて掘り下げていきます。

1. セキュリティ脆弱性とエクスプロイトのリスク

ソフトウェアをバージョンアップする最も説得力のある理由の一つは、脆弱性とエクスプロイトから保護することです。ソフトウェアが進化するにつれて、開発者は悪意ある行為者に悪用される可能性のあるセキュリティ上の欠陥を発見し、パッチを適用します。

しかし、古いバージョン、特にベンダーがアップデートを提供していないバージョンには、重要なセキュリティパッチがないことが多く、サイバー攻撃を受けやすい。ハッカーが古いソフトウェアを積極的に狙うのは、未対処の脆弱性がある可能性が高く、悪用されやすいことを知っているからです。

よく知られた例としては、Apache Log4j ロギングライブラリに影響を及ぼすLog4Shellの脆弱性 (CVE-2021-44228) があります。この重大な脆弱性は、攻撃者がリモートから任意のコードを実行することを可能にし、世界中の何百万ものシステムを危険にさらす可能性がありました。悪用されるリスクを軽減するためには、影響を受けるソフトウェアのパッチを適用した最新バージョンへのバージョンアップを促すことが不可欠でした。

よくある誤解は、この種の脆弱性や悪用は、Web アプリケーションファイアウォール (WAF) を使えば防げるというものです。WAF は日々の運用において一定の価値を提供しますが、問題の根本的な原因を解決するものではありません。

2. サポート終了バージョンと未サポートバージョン

HCLSoftware では、機能を強化し、パフォーマンスを向上させ、セキュリティ上の懸念に対処するために、製品の新しいバージョンを定期的にリリースしています。 ただし、IBM Domino v9 および v10 で発表されているように、新しいバージョンが導入されると、古いバージョンは最終的にサポート終了 (EOS) に達し、サポートされなくなります。 これは、重要なセキュリティ アップデートやパッチが提供されなくなり、ユーザーが使用するソフトウェアは時間の経過とともにますます脆弱になることを意味します。 サポートされていないバージョンを使用し続けると、開発者による継続的なサポートとメンテナンスのセーフティ ネットがないため、システム全体が危険にさらされます。

2017年に発生した WannaCry ランサムウェア攻撃は、Windows OS の古いバージョンの脆弱性を悪用したサポートされていないソフトウェアを使用した結果であったことは記憶に新しい。当時入手可能だった必要なセキュリティ更新プログラムをインストールしなかった組織は、データの広範な暗号化と身の代金要求の被害に遭いました。

PoodleHeartbleed を覚えていますでしょうか。どちらも、IBM Domino にも影響を与えたコアの SSL/TLS スタックの脆弱性でした。同じような問題が発生した場合、サポートされていないバージョンの Domino は修正を受けることができず、システムは脆弱なままとなり、最終的にはデータ漏洩や機密情報の損失につながることになります。

ドイツ連邦情報セキュリティ局 (BSI) は、Microsoft Exchange サーバーのパッチ適用状況の悪さについて緊急警告を発しました。もしまだ古いバージョンで運用しているのであれば、あなたのビジネスを心配する必要があります。

3. コンプライアンスと規制要件

多くの業界において、規制基準やデータ保護法への準拠は任意ではなく、必須です。データ保護、プライバシー、独占禁止法、サイバーセキュリティ、輸出入規制、税制、記録保持規則など、特定の国や地域、業界に適用されるものが数多くあります。

最新のセキュリティ機能やパッチが適用されていない古いソフトウェアを使用していると、コンプライアンス違反につながり、多額の罰金や風評被害につながる可能性があります。ソフトウェアをバージョンアップすることで、業界の規制や標準に沿った状態を維持し、法的な影響からビジネスを守り、顧客の信頼を維持できます。

例えば、欧州連合の一般データ保護規則 (GDPR) は、個人データを保護するために適切なセキュリティ対策を実施することを組織に求めています。具体的には、GDPR 第 2 章 第 5f 条は次のように定義しています。

「データは、適切な技術的または組織的手段を用いて、不正または違法な処理に対する保護、偶発的な損失、破壊または損傷に対する保護を含む、個人データの適切なセキュリティを確保する方法で処理されなければならない(「完全性および機密性」)」。

つまり、既知のセキュリティ脆弱性を軽減するためのソフトウェアのバージョンアップを怠ると、コンプライアンス違反となり、厳しい罰則が科される可能性があるということです。

4. データ侵害と機密情報の喪失

サイバー攻撃が成功すると、データ流出から機密情報の損失まで、壊滅的な打撃を受ける可能性があります。旧式のソフトウェアは、貴重なデータを盗んだり、システムに不正アクセスしようとするサイバー犯罪者にとって、重要な標的です。昨年多くの企業が不幸にも経験したように、企業全体を悪用するには、たった1つの侵入口があれば十分です。残念ながら、重要なのは常に最も弱いリンクなのです。

最新バージョンにバージョンアップすることで、データ漏洩のリスクを軽減するだけでなく、組織の機密情報と評判を積極的に保護することができます。

eWeek 誌によると、データ漏洩や監査に失敗した企業の80%は、パッチやコンフィギュレーションを最新の状態に保つことで、問題を防ぐことができたという。

米国で非常に有名な例は、ハッカーがWebアプリケーションフレームワークであるApache Strutsの脆弱性を悪用し、数百万人分の機密個人情報にアクセスした 2017年のEquifax 事件です。そのフレームワークのパッチを適用したバージョンにバージョンアップすれば、この高価な侵害を防げたかもしれない。

ごく最近の事例では、XZ Library に深刻なバックドアがあり、インターネット全体に影響を及ぼす可能性がありました。幸いなことに、これはすぐに発見され修正されたが、いくつかのLinuxディストロには影響がありました。すぐにアップデートをしなければ、事実上バックドアを広く開いたままにしておくことになります。セキュリティの脅威に対する警戒を怠らないことの重要性を強調するのに、これ以上言う必要があるだろうか?

5. パフォーマンスと機能性の向上

上記のようなセキュリティ上の懸念に加え、アップデートは生産性を高め、ワークフローを合理化するパフォーマンスの向上や新機能も提供します。

例えば、HCL Domino v14 は 86 の新機能を提供し、最新のサーバーハードウェアの CPU効率向上を活用するために最新のコンパイラで構築されています。最新の状態を維持することで、セキュリティリスクを低減するだけでなく、今日のめまぐるしいビジネス環境で競争力を維持するために必要なツールや機能を利用できるようになります。

上記の主要な記述だけでは十分でない場合は、あなたの組織に大きな損失をもたらす可能性のある、私たちが遭遇したいくつかの一般的な誤解についてお話しましょう。

1. Web アプリケーションファイアウォールによる安全性の確保の誤解 Web アプリケーションファイアウォール (WAF) やファイアウォールは、全体として日々のサービスや運用に一定の価値を提供する一方で、誤検知/誤検知によるサービス品質やパフォーマンスへの影響といった欠点もあります。また、WAFは追加コストがかかり、(パターン)アップデートの受信自体に大きく依存します。そのため、問題の根本原因を解決する代わりにWAFを導入しても、コストと複雑さは増すものの、高度なスレッドを防御することはできません。

2. バージョンアップには時間とコストがかかるという誤解 競合他社にとっては重大なコスト問題かもしれないが、HCL Domino のバージョンアップは通常、サーバーのバージョンアップが「その場で」行われ、数分で完了するため非常に簡単です。Notes クライアント AUT または Panagenda MarvelClient Upgrade が成功のためのツールであるクライアントも同じです。

3. 最新バージョンでは古い機能を非推奨となる誤解 市場で 30年以上、HCL Domino は投資保護の実績を示してきました。その間、後方互換性が常に優先されたため、10年以上前に導入された NSFDB2 機能など、非推奨または廃止された機能はごくわずかでした。もしこのようなことが行われることがあれば、事前に十分な説明が行われます。

結論として、ソフトウェアをバージョンアップすることの重要性は、特にセキュリティリスクから保護することに関しては、いくら強調してもし過ぎることはありません。最新のバージョンとセキュリティパッチを適用することで、サイバー脅威に対する防御を強化し、規制要件へのコンプライアンスを確保し、潜在的な脆弱性からビジネスを守れます。

ソフトウェアのバージョンアップに投資することは、単に技術的に適切であり続けるということではなく、最も貴重な資産を保護し、組織の将来を確保することなのです。

「今」を受け入れ、過去にとらわれることなく、バージョンアップを行いましょう!

HCL BigFix を使用してアップデートを自動化したり、V14 の新しい AutoUpdate 機能を使用して HCL Domino サーバーとクライアントを常に最新の状態に保てます。また、CCB ライセンスで使用できる HCL Nomad Web クライアントに移行すれば、Notes クライアントのバージョンアップを省略できます。詳しくは最新のウェビナーをご覧ください。

HCLSoftware のホワイトグローブサービスを活用できますし、バージョンアップの詳細については Domino バージョンアップ Web ページをご覧ください。訳者注: 別の日本語サイトもあります。

コミュニティとのつながりを保つ - OpenNTF やそのウェビナーdiscord チャンネル製品別のディスカッションフォーラムEngage.ugCollabsphere などのカンファレンスに参加して、他の人が何をしたかを学び、質問し、知識を共有しましょう。

参考資料

このブログについて

HCL Japan の Software 部門の複数担当者で HCL Software 全般について記しています。

Tags

Academy Accelerate Accelerator Actian Aftermarket Cloud Ambassador AoC AppDev Pack AppScan ASoC BigFix BigFix Workspace CAA CDP Clara Client Applicatin Access Cloud Native Commerce Common Local License Server Compass Connections Connnections CVE-2021-44228 DevOpes Velocity DevOps DevOps Code ClearCase DevOps Code RealTime DevOps Deploy DevOps.Launch.AppScan DevOps Model RealTim DevOps Model RealTime DevOps Plan DevOps Test DevOps Velocity Digital Experience Discover Domino Domino Leap Domino Volt Domino管理者アップデート認定試験対策 DQL DRYiCE DX Enterprise Integrator event General HCAA HCL Ambassador HCL Ambassadors HCL Domino REST API HCL OneTest Embedded HCL Z and I Emulator HCL Z and I Emulator for Transformation HCLSoftware U Hero history HTMO iControl iNotes IZSAM KEEP Launch Launch.DevOps Leap Link MarvelClient nds2019 ndv12beta Noets/Domino Nomad Nomad Mobile Nomad Web notes Notes/Domino notes-domino-9-10-limited-supportability-as-of-202204 Notes/Domino V12 Notes/Domion notescons Now OneDB OneTest OnTime REST RTist SafeLinx Sametime SoFy Total Experience Traveler Traveler for Microsoft Outlook Unica Unica Discover Unica Interact UrbanCode Deploy UrbanCode Velocity Velocity Verse VersionVault Volt Volt MX Volt MX Go Volt MX サンプルアプリ Wordload Automation Workload Automation youtube Z Z Abend Investigator Z and I Emulator Z and I Emulator for Transformation Z and I Emulator for Web Z and I Emulator for Web Client Z Asset Optimizer Z Data Tools Z Software Asset Manager ZAI ZAO ZIE ZIE for Transformation ZIE for Web ZIE for Windows ZIET ZIETrans ZIEWeb イベント ガイド クラウド サポート サポート技術情報 サポート終了 セキュリティ セキュリティー セキュリティー脆弱性 テクてく Lotus 技術者夜会 ニュース ノーツコンソーシアム パートナー ライセンス 九州地区 Notes パートナー会 出荷日 研修