属人的なスキルに依存してしまう、パッチ管理業務の実態
一般的に「パッチ管理」とは、システムのセキュリティ面における脆弱性や不具合などからシステムを守るために、オペレーションシステム(OS)や開発基盤などのプラットフォーム、アプリケーションなどの更新を管理者が制御することを指す。当然ながら、システムのライフサイクルやセキュリティ対策における必須要素といえるだろう。
パッチ管理のプロセスについては、NIST(National Institute of Standards and Technology:米国国立標準技術研究所)が「NIST SP800-40(脆弱性管理 パッチおよび脆弱性管理プロセス)」に定義しており、インベントリ作成から脆弱性検知、優先順位付け、脆弱性DX作成、パッチ検証、パッチ運用、運用後の確認、トレーニングまでを一連のサイクルとしている。
こうしたパッチ管理を行う組織の現状・課題として、鈴木氏は次の5つを挙げた。
パッチ管理の現状と課題
- 必要十分なインベントリの作成、管理の負荷低減
- タイムリーかつ適切な脆弱性情報の把握
- タイムリーな脆弱性対策(パッチ)の導入
- 脆弱性対策(パッチ適用)の状況把握
- 情報の一元化
パッチ管理を行うための基礎情報であるインベントリの作成については、多くの場合、下図のような一覧によって管理されているが、企業規模によっては管理対象が数千数万にも上り、相当の負荷がともなう。
また、タイムリーかつ適切な脆弱性情報の把握についても、「誰が」「何を基準に」「どのように情報を収集するか」などを決定し、それに基づいて優先順位を付けて対応することが求められるが、属人的なスキルに依存することとなる。鈴木氏は「人が変われば判断も変わり、重要度や優先度にブレが生じる。必然的に担当者が変わるごとにシステムの脆弱性も変化する。担当者の責任や負担も甚大なものになる」と語る。
また、優先順位を付けて対応しようとした時、「パッチを当てる」という実作業が発生する。これもまた、可能な限り迅速であることを求められながら、様々なユーザーとの調整も必要であり、時間も手間もかかるものだ。ましてや、サーバーOSだけでなく、クライアントPCのOSまで含めれば、システム規模によっては数万台におよぶこともあるだろう。
それに、そうしたパッチ適用の状況を把握したくなるのも当然のことだ。しかし、パッチ適用前後とも、どの対象物にどのパッチが適用されているか、正確に把握するには個別のOSやソフトウェアごとに直接確かめる必要があり、現実的とは言い難い。
鈴木氏は「こうした様々な課題について、Excelやスプレッドシートなどを使用して属人的に対応している組織はまだ多い。情報の一元化が実現されれば、リスクと現状を的確に把握することでセキュリティの向上が期待でき、情報システム部門の業務が可視化・効率化できるはず」と語る。
