業務時間外の対応も少なくない「パッチ管理」……自動化・効率化するときに“不可欠な5つの機能”
夜間のパッチ適用は「当たり前」にしないで! まずはスモールスタートから
企業のセキュリティ対策において、必須ながらも面倒な「パッチ管理」。たとえば、サーバーOSや社員のクライアント端末をExcelで管理したり、JVN(Japan Vulnerability Notes:脆弱性情報データベース)から取得した未適用パッチ情報を手動でつき合わせたり、さらには業務時間外の深夜や休日などに手動でパッチを当てたりしてはいないだろうか。これまで「当たり前」と思いがちな、パッチ管理の自動化・効率化について、DXコンサルティング DXコンサルティング部 シニア・コンサルタントの鈴木浩一氏が、現状と課題、対応すべきプロセス、そして解決策としてのソリューションのポイントについて解説した。
属人的なスキルに依存してしまう、パッチ管理業務の実態
一般的に「パッチ管理」とは、システムのセキュリティ面における脆弱性や不具合などからシステムを守るために、オペレーションシステム(OS)や開発基盤などのプラットフォーム、アプリケーションなどの更新を管理者が制御することを指す。当然ながら、システムのライフサイクルやセキュリティ対策における必須要素といえるだろう。
パッチ管理のプロセスについては、NIST(National Institute of Standards and Technology:米国国立標準技術研究所)が「NIST SP800-40(脆弱性管理 パッチおよび脆弱性管理プロセス)」に定義しており、インベントリ作成から脆弱性検知、優先順位付け、脆弱性DX作成、パッチ検証、パッチ運用、運用後の確認、トレーニングまでを一連のサイクルとしている。
こうしたパッチ管理を行う組織の現状・課題として、鈴木氏は次の5つを挙げた。
パッチ管理の現状と課題
- 必要十分なインベントリの作成、管理の負荷低減
- タイムリーかつ適切な脆弱性情報の把握
- タイムリーな脆弱性対策(パッチ)の導入
- 脆弱性対策(パッチ適用)の状況把握
- 情報の一元化
パッチ管理を行うための基礎情報であるインベントリの作成については、多くの場合、下図のような一覧によって管理されているが、企業規模によっては管理対象が数千数万にも上り、相当の負荷がともなう。
また、タイムリーかつ適切な脆弱性情報の把握についても、「誰が」「何を基準に」「どのように情報を収集するか」などを決定し、それに基づいて優先順位を付けて対応することが求められるが、属人的なスキルに依存することとなる。鈴木氏は「人が変われば判断も変わり、重要度や優先度にブレが生じる。必然的に担当者が変わるごとにシステムの脆弱性も変化する。担当者の責任や負担も甚大なものになる」と語る。
また、優先順位を付けて対応しようとした時、「パッチを当てる」という実作業が発生する。これもまた、可能な限り迅速であることを求められながら、様々なユーザーとの調整も必要であり、時間も手間もかかるものだ。ましてや、サーバーOSだけでなく、クライアントPCのOSまで含めれば、システム規模によっては数万台におよぶこともあるだろう。
それに、そうしたパッチ適用の状況を把握したくなるのも当然のことだ。しかし、パッチ適用前後とも、どの対象物にどのパッチが適用されているか、正確に把握するには個別のOSやソフトウェアごとに直接確かめる必要があり、現実的とは言い難い。
鈴木氏は「こうした様々な課題について、Excelやスプレッドシートなどを使用して属人的に対応している組織はまだ多い。情報の一元化が実現されれば、リスクと現状を的確に把握することでセキュリティの向上が期待でき、情報システム部門の業務が可視化・効率化できるはず」と語る。
この記事は参考になりましたか?
- Security Online Day 2023 春の陣レポート連載記事一覧
- この記事の著者
-
伊藤真美(イトウ マミ)
フリーランスのエディター&ライター。もともとは絵本の編集からスタートし、雑誌、企業出版物、PRやプロモーションツールの制作などを経て独立。ビジネスやIT系を中心に、カタログやWebサイト、広報誌まで、メディアを問わずコンテンツディレクションを行っている。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
提供:ゾーホージャパン株式会社
【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社
この記事は参考になりましたか?
この記事をシェア
