論文の概要: To Patch or Not to Patch: Motivations, Challenges, and Implications for Cybersecurity

• arxiv url: http://arxiv.org/abs/2502.17703v1
• Date: Mon, 24 Feb 2025 22:52:35 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-02-26 17:42:45.527366
• Title: To Patch or Not to Patch: Motivations, Challenges, and Implications for Cybersecurity
• Title（参考訳）: パッチをパッチするかどうか - サイバーセキュリティへのモチベーション、課題、意味
• Authors: Jason R. C. Nurse,
• Abstract要約: パッチ適用に関する質問を新たに検討し、なぜ組織がパッチ適用を選択したのか、それに反対したのかを批判的に調査する。 主な動機は、組織的なニーズ、IT/セキュリティチームとベンダーとの関係、法的および規制的な要求である。 また、この決定がパッチが適用されない理由として、多くの重要な理由が発見されている。
• 参考スコア（独自算出の注目度）: 2.7195102129095003
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: As technology has become more embedded into our society, the security of modern-day systems is paramount. One topic which is constantly under discussion is that of patching, or more specifically, the installation of updates that remediate security vulnerabilities in software or hardware systems. This continued deliberation is motivated by complexities involved with patching; in particular, the various incentives and disincentives for organizations and their cybersecurity teams when deciding whether to patch. In this paper, we take a fresh look at the question of patching and critically explore why organizations and IT/security teams choose to patch or decide against it (either explicitly or due to inaction). We tackle this question by aggregating and synthesizing prominent research and industry literature on the incentives and disincentives for patching, specifically considering the human aspects in the context of these motives. Through this research, this study identifies key motivators such as organizational needs, the IT/security team's relationship with vendors, and legal and regulatory requirements placed on the business and its staff. There are also numerous significant reasons discovered for why the decision is taken not to patch, including limited resources (e.g., person-power), challenges with manual patch management tasks, human error, bad patches, unreliable patch management tools, and the perception that related vulnerabilities would not be exploited. These disincentives, in combination with the motivators above, highlight the difficult balance that organizations and their security teams need to maintain on a daily basis. Finally, we conclude by discussing implications of these findings and important future considerations.
• Abstract（参考訳）: テクノロジーが社会に浸透するにつれ、現代のシステムのセキュリティは最重要課題となっている。 常に議論されているトピックの1つは、ソフトウェアやハードウェアシステムのセキュリティ脆弱性を修復するアップデートのパッチ、あるいはより具体的には、インストールである。 この継続的な議論はパッチ適用に関わる複雑さによって動機付けられており、特にパッチ適用を決定する際には、組織やサイバーセキュリティチームに対する様々なインセンティブや非インセンティブがある。 本稿では、組織やIT/セキュリティチームが、なぜパッチを当てるか、それに反対するか(明示的に、あるいは不作為か)をなぜ選択するか、という問題について、再検討する。 我々は,これらのモチベーションの文脈における人的側面を特に考慮して,パッチのインセンティブやインセンティブに関する著名な研究・産業文献を収集・合成することで,この問題に対処する。 本研究は,企業のニーズ,IT/セキュリティチームとベンダとの関係,ビジネスとスタッフの法的・規制的要件など,主要なモチベーション要因を明らかにする。 例えば、限られたリソース(人力など)、手動のパッチ管理タスクの課題、ヒューマンエラー、悪いパッチ、信頼性の低いパッチ管理ツール、関連する脆弱性を悪用しないという認識などだ。 これらの不満は、上記のモチベーションと組み合わせて、組織とセキュリティチームが日々維持しなければならない困難なバランスを強調します。 最後に,これらの知見の意義と今後の重要な考察について論じる。

関連論文リスト

• Realigning Incentives to Build Better Software: a Holistic Approach to Vendor Accountability [7.627207028377776]
  より良い品質のソフトウェアに関する課題は、不整合したインセンティブの連続による小さな部分によるものではない、と私たちは主張する。 責任の欠如は、ソフトウェアベンダがあらゆるインセンティブを持って、低品質のソフトウェアを市場に投入することを意味する。 この記事では、より良い、よりセキュアなソフトウェア開発にインセンティブを与えるために必要な、総合的な技術とポリシーのフレームワークを概説する。
  論文  参考訳（メタデータ） (2025-04-10T14:05:24Z)
• Towards Trustworthy GUI Agents: A Survey [64.6445117343499]
  本調査では,GUIエージェントの信頼性を5つの重要な次元で検証する。 敵攻撃に対する脆弱性、シーケンシャルな意思決定における障害モードのカスケードなど、大きな課題を特定します。 GUIエージェントが普及するにつれて、堅牢な安全基準と責任ある開発プラクティスを確立することが不可欠である。
  論文  参考訳（メタデータ） (2025-03-30T13:26:00Z)
• Open Problems in Machine Unlearning for AI Safety [61.43515658834902]
  特定の種類の知識を選択的に忘れたり、抑圧したりするマシンアンラーニングは、プライバシとデータ削除タスクの約束を示している。 本稿では,アンラーニングがAI安全性の包括的ソリューションとして機能することを防止するための重要な制約を特定する。
  論文  参考訳（メタデータ） (2025-01-09T03:59:10Z)
• Position: A taxonomy for reporting and describing AI security incidents [57.98317583163334]
  AIシステムのセキュリティインシデントを記述し報告するためには、具体的が必要である、と我々は主張する。 非AIセキュリティまたは汎用AI安全インシデントレポートの既存のフレームワークは、AIセキュリティの特定の特性をキャプチャするには不十分である。
  論文  参考訳（メタデータ） (2024-12-19T13:50:26Z)
• Using AI Alignment Theory to understand the potential pitfalls of regulatory frameworks [55.2480439325792]
  本稿では、欧州連合の人工知能法(EU AI法)を批判的に検討する。 人工知能における技術的アライメントの潜在的な落とし穴に焦点を当てたアライメント理論(AT)研究からの洞察を利用する。 これらの概念をEU AI Actに適用すると、潜在的な脆弱性と規制を改善するための領域が明らかになる。
  論文  参考訳（メタデータ） (2024-10-10T17:38:38Z)
• A Mixed-Methods Study of Open-Source Software Maintainers On Vulnerability Management and Platform Security Features [6.814841205623832]
  本稿では,OSSメンテナの脆弱性管理とプラットフォームセキュリティ機能について考察する。 サプライチェーンの不信や、脆弱性管理の自動化の欠如が、最も困難であることに気付きました。 プラットフォームのセキュリティ機能を採用する上での障壁は、認識の欠如と、それらが必要ないという認識の欠如である。
  論文  参考訳（メタデータ） (2024-09-12T00:15:03Z)
• From Chaos to Consistency: The Role of CSAF in Streamlining Security Advisories [4.850201420807801]
  Common Security Advisory Format (CSAF)は、セキュリティアドバイザリを標準化されたフォーマットにすることを目的としている。 CSAFは現在滅多に使われていない。 主な理由の1つは、システムがまだ自動化のために設計されていないことである。
  論文  参考訳（メタデータ） (2024-08-27T10:22:59Z)
• Security in IS and social engineering -- an overview and state of the art [0.6345523830122166]
  すべてのプロセスのデジタル化とIoTデバイスのオープン化は、サイバー犯罪という新たな犯罪形態の出現を促している。 こうした攻撃の悪意は、ユーザーがサイバー攻撃のファシリテーターになるという事実にある。 予測方法、弱い信号と外れ値の特定、早期発見、コンピュータ犯罪への迅速な対応が優先課題であり、予防と協力のアプローチが必要である。
  論文  参考訳（メタデータ） (2024-06-17T13:25:27Z)
• Artificial Intelligence in Industry 4.0: A Review of Integration Challenges for Industrial Systems [45.31340537171788]
  サイバー物理システム(CPS)は、予測保守や生産計画を含むアプリケーションに人工知能(AI)が活用できる膨大なデータセットを生成する。 AIの可能性を実証しているにもかかわらず、製造業のような分野に広く採用されていることは依然として限られている。
  論文  参考訳（メタデータ） (2024-05-28T20:54:41Z)
• Red-Teaming for Generative AI: Silver Bullet or Security Theater? [42.35800543892003]
  我々は、赤いチーム化は、GenAIの有害な軽減を特徴付ける上で価値のある大胆なアイデアであるが、業界はAIを保護するために、閉じたドアの後ろでレッドチームやその他の戦略を効果的に適用するかもしれないと論じている。 生成AIの評価のより堅牢なツールボックスに向けて、私たちは、私たちの推奨事項を、将来のAI赤チームプラクティスをガイドし、足場にすることを目的とした質問銀行に合成します。
  論文  参考訳（メタデータ） (2024-01-29T05:46:14Z)
• Just-in-Time Detection of Silent Security Patches [7.840762542485285]
  セキュリティパッチは黙秘される可能性がある。つまり、CVEのような包括的なアドバイザリを常に備えているわけではない。 この透明性の欠如により、ユーザーは利用可能なセキュリティアップデートを気にせず、攻撃者が未パッチの脆弱性を悪用する十分な機会を提供する。 本稿では,大規模言語モデル(LLM)を活用して,生成されたコード変更説明を用いてパッチ情報を拡張することを提案する。
  論文  参考訳（メタデータ） (2023-12-02T22:53:26Z)
• AI for IT Operations (AIOps) on Cloud Platforms: Reviews, Opportunities and Challenges [60.56413461109281]
  IT運用のための人工知能(AIOps)は、AIのパワーとIT運用プロセスが生成するビッグデータを組み合わせることを目的としている。 我々は、IT運用活動が発信する重要なデータの種類、分析における規模と課題、そしてどのように役立つかについて深く議論する。 主要なAIOpsタスクは、インシデント検出、障害予測、根本原因分析、自動アクションに分類します。
  論文  参考訳（メタデータ） (2023-04-10T15:38:12Z)
• Security for Machine Learning-based Software Systems: a survey of threats, practices and challenges [0.76146285961466]
  機械学習ベースのモダンソフトウェアシステム(MLBSS)を安全に開発する方法は、依然として大きな課題である。 潜伏中の脆弱性と、外部のユーザーや攻撃者に暴露されるプライバシー問題は、ほとんど無視され、特定が難しい。 機械学習ベースのソフトウェアシステムのセキュリティは、固有のシステム欠陥や外敵攻撃から生じる可能性があると考えている。
  論文  参考訳（メタデータ） (2022-01-12T23:20:25Z)
• Dos and Don'ts of Machine Learning in Computer Security [74.1816306998445]
  大きな可能性にもかかわらず、セキュリティにおける機械学習は、パフォーマンスを損なう微妙な落とし穴を引き起こす傾向がある。 我々は,学習ベースのセキュリティシステムの設計,実装,評価において共通の落とし穴を特定する。 我々は,落とし穴の回避や軽減を支援するために,研究者を支援するための実用的な勧告を提案する。
  論文  参考訳（メタデータ） (2020-10-19T13:09:31Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。