SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

EnterpriseZine Day 2024 Summer

2024年6月25日(火)オンライン開催

予期せぬ事態に備えよ! クラウドで実現するIT-BCP対策 powered by EnterpriseZine

2024年7月10日(水)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

Security Online Day 2023 春の陣レポート(AD)

業務時間外の対応も少なくない「パッチ管理」……自動化・効率化するときに“不可欠な5つの機能”

夜間のパッチ適用は「当たり前」にしないで! まずはスモールスタートから

 企業のセキュリティ対策において、必須ながらも面倒な「パッチ管理」。たとえば、サーバーOSや社員のクライアント端末をExcelで管理したり、JVN(Japan Vulnerability Notes:脆弱性情報データベース)から取得した未適用パッチ情報を手動でつき合わせたり、さらには業務時間外の深夜や休日などに手動でパッチを当てたりしてはいないだろうか。これまで「当たり前」と思いがちな、パッチ管理の自動化・効率化について、DXコンサルティング DXコンサルティング部 シニア・コンサルタントの鈴木浩一氏が、現状と課題、対応すべきプロセス、そして解決策としてのソリューションのポイントについて解説した。

属人的なスキルに依存してしまう、パッチ管理業務の実態

 一般的に「パッチ管理」とは、システムのセキュリティ面における脆弱性や不具合などからシステムを守るために、オペレーションシステム(OS)や開発基盤などのプラットフォーム、アプリケーションなどの更新を管理者が制御することを指す。当然ながら、システムのライフサイクルやセキュリティ対策における必須要素といえるだろう。

 パッチ管理のプロセスについては、NIST(National Institute of Standards and Technology:米国国立標準技術研究所)が「NIST SP800-40(脆弱性管理 パッチおよび脆弱性管理プロセス)」に定義しており、インベントリ作成から脆弱性検知、優先順位付け、脆弱性DX作成、パッチ検証、パッチ運用、運用後の確認、トレーニングまでを一連のサイクルとしている。

 こうしたパッチ管理を行う組織の現状・課題として、鈴木氏は次の5つを挙げた。

パッチ管理の現状と課題

  1. 必要十分なインベントリの作成、管理の負荷低減
  2. タイムリーかつ適切な脆弱性情報の把握
  3. タイムリーな脆弱性対策(パッチ)の導入
  4. 脆弱性対策(パッチ適用)の状況把握
  5. 情報の一元化

 パッチ管理を行うための基礎情報であるインベントリの作成については、多くの場合、下図のような一覧によって管理されているが、企業規模によっては管理対象が数千数万にも上り、相当の負荷がともなう。

画像を説明するテキストなくても可
クリックすると拡大します

 また、タイムリーかつ適切な脆弱性情報の把握についても、「誰が」「何を基準に」「どのように情報を収集するか」などを決定し、それに基づいて優先順位を付けて対応することが求められるが、属人的なスキルに依存することとなる。鈴木氏は「人が変われば判断も変わり、重要度や優先度にブレが生じる。必然的に担当者が変わるごとにシステムの脆弱性も変化する。担当者の責任や負担も甚大なものになる」と語る。

 また、優先順位を付けて対応しようとした時、「パッチを当てる」という実作業が発生する。これもまた、可能な限り迅速であることを求められながら、様々なユーザーとの調整も必要であり、時間も手間もかかるものだ。ましてや、サーバーOSだけでなく、クライアントPCのOSまで含めれば、システム規模によっては数万台におよぶこともあるだろう。

 それに、そうしたパッチ適用の状況を把握したくなるのも当然のことだ。しかし、パッチ適用前後とも、どの対象物にどのパッチが適用されているか、正確に把握するには個別のOSやソフトウェアごとに直接確かめる必要があり、現実的とは言い難い。

 鈴木氏は「こうした様々な課題について、Excelやスプレッドシートなどを使用して属人的に対応している組織はまだ多い。情報の一元化が実現されれば、リスクと現状を的確に把握することでセキュリティの向上が期待でき、情報システム部門の業務が可視化・効率化できるはず」と語る。

パッチ管理を効率化するときに押さえたい“5つの機能”

 これらパッチ管理にまつわる様々な課題をどのようにして解決したらいいのか。既出のNISTによるガイドラインによると、「広範囲のコンピュータに手作業でパッチを適応するのは、有効でない」とし、「一定規模の組織において、脆弱性/パッチ管理を適切に行うためには、ツールの活用が効果的」と明言されている。

 しかし、鈴木氏は「ただツールを、という発想では解決しない。パッチ管理を効率よく、かつ必要なレベルで行うには、NISTのガイドラインなどを参照し、必要なプロセスを明確化し、その上で必要なパッチ管理に適正化された自動化ソリューションを活用するのが望ましい」と語る。そして、解決策のヒントとして、パッチ管理におけるプロセスに基づいて必要な5つの機能を挙げた。

パッチ管理において必要な機能

  1. 脆弱性情報を自動収集
  2. パッチ配布状況の可視化
  3. パッチ配布のスケジュール/自動配布
  4. 適切なパッチ配布対象の定義
  5. インベントリの自動収集

 これらを満たし、具体的に解決するソリューションとして、鈴木氏はゾーホージャパンが提供する「Patch Manager Plus」を紹介。前述の5つの課題に対して、どのように解決する機能を対応させているのか。

画像を説明するテキストなくても可
DXコンサルティング DXコンサルティング部 シニア・コンサルタント 鈴木浩一氏

 まず、『インベントリの作成・管理の負荷低減』について、Patch Manager Plusでは手動で行わずとも、インベントリ情報の自動収集と画面上での可視化によって解決する。

画像を説明するテキストなくても可
クリックすると拡大します

 2つ目の課題である、『タイムリーかつ適切な脆弱性情報の把握』については、各製品メーカーサイトからの脆弱性情報やパッチ情報を収集して「パッチ情報DB」に格納し、そこから有効な情報をPatch Manager Plusで管理するという。Linuxにも対応し、ChromeやAcrobatなど850以上のソフトウェアに対応。オンプレミスだけでなくクラウド版も用意されている。

画像を説明するテキストなくても可
クリックすると拡大します

夜間のパッチ適用などを「当たり前」とは思わないで

 そして、『タイムリーな脆弱性対策(パッチ)の導入』については、どのコンピュータにパッチが足りていないかを自動的に把握し、欠落したパッチを自動的に配布する機能を搭載している。この時、欠落パッチはWindowsやMac、Adobeなどのサードパーティベンダーサイトからパッチを自動ダウンロードするため、手作業する必要がない。

 『脆弱性対策(パッチ適用)の状況把握』については、Patch Manager Plusの豊富なレポート機能で十分対応できる。コンピュータごとにパッチの配布結果を閲覧できるだけでなく、ソフトウェアごとに欠落パッチを一覧化しフィルタリング検索することも可能だ。こうしたレポート機能によって、組織内のコンピュータが安全であるかどうかを迅速に把握できる。

画像を説明するテキストなくても可
クリックすると拡大します

 最後に、『情報の一元化』については、ここまで紹介してきた「脆弱性・パッチ情報」や「パッチ適用状況」などの各種情報を、すべてPatch Manager Plusに集約し、画面上で閲覧することが可能だ。さらにパッチに関するメーカーの公開情報は、情報として取得するだけでなく、メーカー側に遷移して確認することもできる。鈴木氏は「情報を一元管理することで、パッチ管理の負担を軽減し、効果を高めつつ、効率化がかなう」と強調した。

画像を説明するテキストなくても可
クリックすると拡大します

 そして、改めて「脆弱性管理やパッチ管理は大きな負担をともなうもの。だからといって、事業で活用しているOSやソフトウェアならば、行わないという選択肢はなく、そのセキュリティ上のリスクを低減していくことは企業的課題と言える」と話した。続けて「その解決策としての一つの示唆として、コントロールできる部分から自動化を始めるスモールスタートの考え方がある。また、Excelとの格闘や夜間のパッチ適用などを当たり前と考えず、本セッションを機に見直してみてほしい」と訴え、セッションの結びとした。

パッチ管理はPatch Manager Plusにお任せ!

Windows/Mac/LinuxのOSパッチとAdobe/Java/ブラウザーなど850を超えるアプリケーションのパッチを単一コンソールで簡単に管理します。本記事で興味を持たれた方は、Patch Manager Plus公式サイトからお問い合わせください。

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note

提供:ゾーホージャパン株式会社

【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/17552 2023/04/12 10:00

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング