仮想パッチとは【用語集詳細】
仮想パッチ(Virtual Patching)は、ソフトウェアやアプリケーションの脆弱性に対応するための施策です。脆弱性が公開あるいは発覚された場合、通常はベンダーが該当する製品やソフトウェアに対するパッチを配布します。しかし、例えばゼロデイ脆弱性の発覚からパッチ公開までには一定期間が必要であることが多く、また、運用環境からパッチ適用が非常に高コストであるケースもあります。
仮想パッチは、このような場合に用いられる対策です。
仮想パッチは、該当するソフトウェアやアプリケーションのソースコードを直接変更することなく、WAFやIPS、プラグインなどを通じて脆弱性に関わる挙動を変化させることにより、その悪用を阻止します。これは、リソース外部のポリシーを操作し、脆弱性悪用を捕捉し阻止することで実現します。
具体例としてはWAFを利用したエクスプロイトのブロックや、PSコマンド実行やネットワーク通信の制限・書き換えなどが挙げられます。
