属人的なスキルに依存してしまう、パッチ管理業務の実態
一般的に「パッチ管理」とは、システムのセキュリティ面における脆弱性や不具合などからシステムを守るために、オペレーションシステム(OS)や開発基盤などのプラットフォーム、アプリケーションなどの更新を管理者が制御することを指す。当然ながら、システムのライフサイクルやセキュリティ対策における必須要素といえるだろう。
パッチ管理のプロセスについては、NIST(National Institute of Standards and Technology:米国国立標準技術研究所)が「NIST SP800-40(脆弱性管理 パッチおよび脆弱性管理プロセス)」に定義しており、インベントリ作成から脆弱性検知、優先順位付け、脆弱性DX作成、パッチ検証、パッチ運用、運用後の確認、トレーニングまでを一連のサイクルとしている。
こうしたパッチ管理を行う組織の現状・課題として、鈴木氏は次の5つを挙げた。
パッチ管理の現状と課題
- 必要十分なインベントリの作成、管理の負荷低減
- タイムリーかつ適切な脆弱性情報の把握
- タイムリーな脆弱性対策(パッチ)の導入
- 脆弱性対策(パッチ適用)の状況把握
- 情報の一元化
パッチ管理を行うための基礎情報であるインベントリの作成については、多くの場合、下図のような一覧によって管理されているが、企業規模によっては管理対象が数千数万にも上り、相当の負荷がともなう。
また、タイムリーかつ適切な脆弱性情報の把握についても、「誰が」「何を基準に」「どのように情報を収集するか」などを決定し、それに基づいて優先順位を付けて対応することが求められるが、属人的なスキルに依存することとなる。鈴木氏は「人が変われば判断も変わり、重要度や優先度にブレが生じる。必然的に担当者が変わるごとにシステムの脆弱性も変化する。担当者の責任や負担も甚大なものになる」と語る。
また、優先順位を付けて対応しようとした時、「パッチを当てる」という実作業が発生する。これもまた、可能な限り迅速であることを求められながら、様々なユーザーとの調整も必要であり、時間も手間もかかるものだ。ましてや、サーバーOSだけでなく、クライアントPCのOSまで含めれば、システム規模によっては数万台におよぶこともあるだろう。
それに、そうしたパッチ適用の状況を把握したくなるのも当然のことだ。しかし、パッチ適用前後とも、どの対象物にどのパッチが適用されているか、正確に把握するには個別のOSやソフトウェアごとに直接確かめる必要があり、現実的とは言い難い。
鈴木氏は「こうした様々な課題について、Excelやスプレッドシートなどを使用して属人的に対応している組織はまだ多い。情報の一元化が実現されれば、リスクと現状を的確に把握することでセキュリティの向上が期待でき、情報システム部門の業務が可視化・効率化できるはず」と語る。
パッチ管理を効率化するときに押さえたい“5つの機能”
これらパッチ管理にまつわる様々な課題をどのようにして解決したらいいのか。既出のNISTによるガイドラインによると、「広範囲のコンピュータに手作業でパッチを適応するのは、有効でない」とし、「一定規模の組織において、脆弱性/パッチ管理を適切に行うためには、ツールの活用が効果的」と明言されている。
しかし、鈴木氏は「ただツールを、という発想では解決しない。パッチ管理を効率よく、かつ必要なレベルで行うには、NISTのガイドラインなどを参照し、必要なプロセスを明確化し、その上で必要なパッチ管理に適正化された自動化ソリューションを活用するのが望ましい」と語る。そして、解決策のヒントとして、パッチ管理におけるプロセスに基づいて必要な5つの機能を挙げた。
パッチ管理において必要な機能
- 脆弱性情報を自動収集
- パッチ配布状況の可視化
- パッチ配布のスケジュール/自動配布
- 適切なパッチ配布対象の定義
- インベントリの自動収集
これらを満たし、具体的に解決するソリューションとして、鈴木氏はゾーホージャパンが提供する「Patch Manager Plus」を紹介。前述の5つの課題に対して、どのように解決する機能を対応させているのか。
まず、『インベントリの作成・管理の負荷低減』について、Patch Manager Plusでは手動で行わずとも、インベントリ情報の自動収集と画面上での可視化によって解決する。
2つ目の課題である、『タイムリーかつ適切な脆弱性情報の把握』については、各製品メーカーサイトからの脆弱性情報やパッチ情報を収集して「パッチ情報DB」に格納し、そこから有効な情報をPatch Manager Plusで管理するという。Linuxにも対応し、ChromeやAcrobatなど850以上のソフトウェアに対応。オンプレミスだけでなくクラウド版も用意されている。
夜間のパッチ適用などを「当たり前」とは思わないで
そして、『タイムリーな脆弱性対策(パッチ)の導入』については、どのコンピュータにパッチが足りていないかを自動的に把握し、欠落したパッチを自動的に配布する機能を搭載している。この時、欠落パッチはWindowsやMac、Adobeなどのサードパーティベンダーサイトからパッチを自動ダウンロードするため、手作業する必要がない。
『脆弱性対策(パッチ適用)の状況把握』については、Patch Manager Plusの豊富なレポート機能で十分対応できる。コンピュータごとにパッチの配布結果を閲覧できるだけでなく、ソフトウェアごとに欠落パッチを一覧化しフィルタリング検索することも可能だ。こうしたレポート機能によって、組織内のコンピュータが安全であるかどうかを迅速に把握できる。
最後に、『情報の一元化』については、ここまで紹介してきた「脆弱性・パッチ情報」や「パッチ適用状況」などの各種情報を、すべてPatch Manager Plusに集約し、画面上で閲覧することが可能だ。さらにパッチに関するメーカーの公開情報は、情報として取得するだけでなく、メーカー側に遷移して確認することもできる。鈴木氏は「情報を一元管理することで、パッチ管理の負担を軽減し、効果を高めつつ、効率化がかなう」と強調した。
そして、改めて「脆弱性管理やパッチ管理は大きな負担をともなうもの。だからといって、事業で活用しているOSやソフトウェアならば、行わないという選択肢はなく、そのセキュリティ上のリスクを低減していくことは企業的課題と言える」と話した。続けて「その解決策としての一つの示唆として、コントロールできる部分から自動化を始めるスモールスタートの考え方がある。また、Excelとの格闘や夜間のパッチ適用などを当たり前と考えず、本セッションを機に見直してみてほしい」と訴え、セッションの結びとした。
パッチ管理はPatch Manager Plusにお任せ!
Windows/Mac/LinuxのOSパッチとAdobe/Java/ブラウザーなど850を超えるアプリケーションのパッチを単一コンソールで簡単に管理します。本記事で興味を持たれた方は、Patch Manager Plus公式サイトからお問い合わせください。
