Risk Oversight vol.97 : パッチ適用に要する時間の考察

2017年9月、米国の信用情報会社であるエクィファクス社において、大規模な個人情報の流出が発覚しました。このセキュリティ侵害において悪用された脆弱性は、米国国土安全保障省のサイバーセキュリティ部門であるUS-CERTが既に特定していたものですが、エクィファクス社でのパッチ適用が間に合わず、同社のレピュテーションを大きく棄損する結果となりました。エクィファクス社はもっと早くパッチを適用できなかったのかという疑問が投げかけられていますが、本資料では、パッチ適用をより迅速に行うための組織的対応について考察します。