春本番を迎えたこの季節は、冬の間にたまった汚れを掃除して環境を整理する良い時期でもあります。会社のセキュリティシステムも例外ではありません。ウォッチガードの CTO、Corey Nachreiner が先週、Dark Reading のコラムで、定期セキュリティメンテナンスプロジェクトを実施する IT セキュリティ／ネットワーク管理者がこの春に取り組むべきタスクについてのヒントを解説しています。

これらのタスクはいずれも重要ではありますが、定期的な実施が義務付けられているわけではないため、先延ばしにしたり、忘れてしまったりすることが多いようです。たとえば、データの監査、古くなったセキュリティポリシーの見直しや削除、従業員の権限の見直し、全社的なフィッシングのトレーニングのスケジュールなどは、見落とされがちではあるものの、いずれも重要なセキュリティタスクです。

システムへのパッチ適用も、年初の忙しさに追われて忘れてしまうことの多いタスクですが、春を迎えたこの時期にじっくり取り組むことをお勧めします。Corey のコラムから、サーバアップデートの毎年の見直しが重要である理由を説明している箇所を抜粋して、以下にご紹介します。

ほとんどの情報セキュリティの専門家が、通常のデスクトップやサーバへのパッチ適用を月例で行っていますが、どのネットワークにも定期的なパッチの適用から除外されているサーバやデバイスが少数であったとしても存在するものです。おそらくは、カスタムアプリケーション用に使用している古いオペレーティングシステムが動作するレガシーサーバや、定期的なアップデートがスケジュールされていない IoT（モノのインターネット）デバイスなどが、これに該当するものと考えられますが、そのようなサーバやデバイスを含むすべてのハードウェアデバイスをチェックし、ファームウェアアップデートが最新であることを確認するようお勧めします。

これらのガイドラインに従うことで、今年の春と夏を安全に迎えられるはずです。詳細は、Dark Reading の Corey の記事全文(英文)でご確認ください。また、Secplicity の最近のデイリーセキュリティバイトでは、月例パッチ公開日の概要をご紹介し、ソフトウェアを最新の状態に保つことの重要性を解説していますので、ぜひ参考にしてください。