SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

Security Online Day 2023 春の陣レポート(AD)

業務時間外の対応も少なくない「パッチ管理」……自動化・効率化するときに“不可欠な5つの機能”

夜間のパッチ適用は「当たり前」にしないで! まずはスモールスタートから

 企業のセキュリティ対策において、必須ながらも面倒な「パッチ管理」。たとえば、サーバーOSや社員のクライアント端末をExcelで管理したり、JVN(Japan Vulnerability Notes:脆弱性情報データベース)から取得した未適用パッチ情報を手動でつき合わせたり、さらには業務時間外の深夜や休日などに手動でパッチを当てたりしてはいないだろうか。これまで「当たり前」と思いがちな、パッチ管理の自動化・効率化について、DXコンサルティング DXコンサルティング部 シニア・コンサルタントの鈴木浩一氏が、現状と課題、対応すべきプロセス、そして解決策としてのソリューションのポイントについて解説した。

属人的なスキルに依存してしまう、パッチ管理業務の実態

 一般的に「パッチ管理」とは、システムのセキュリティ面における脆弱性や不具合などからシステムを守るために、オペレーションシステム(OS)や開発基盤などのプラットフォーム、アプリケーションなどの更新を管理者が制御することを指す。当然ながら、システムのライフサイクルやセキュリティ対策における必須要素といえるだろう。

 パッチ管理のプロセスについては、NIST(National Institute of Standards and Technology:米国国立標準技術研究所)が「NIST SP800-40(脆弱性管理 パッチおよび脆弱性管理プロセス)」に定義しており、インベントリ作成から脆弱性検知、優先順位付け、脆弱性DX作成、パッチ検証、パッチ運用、運用後の確認、トレーニングまでを一連のサイクルとしている。

 こうしたパッチ管理を行う組織の現状・課題として、鈴木氏は次の5つを挙げた。

パッチ管理の現状と課題

  1. 必要十分なインベントリの作成、管理の負荷低減
  2. タイムリーかつ適切な脆弱性情報の把握
  3. タイムリーな脆弱性対策(パッチ)の導入
  4. 脆弱性対策(パッチ適用)の状況把握
  5. 情報の一元化

 パッチ管理を行うための基礎情報であるインベントリの作成については、多くの場合、下図のような一覧によって管理されているが、企業規模によっては管理対象が数千数万にも上り、相当の負荷がともなう。

画像を説明するテキストなくても可
クリックすると拡大します

 また、タイムリーかつ適切な脆弱性情報の把握についても、「誰が」「何を基準に」「どのように情報を収集するか」などを決定し、それに基づいて優先順位を付けて対応することが求められるが、属人的なスキルに依存することとなる。鈴木氏は「人が変われば判断も変わり、重要度や優先度にブレが生じる。必然的に担当者が変わるごとにシステムの脆弱性も変化する。担当者の責任や負担も甚大なものになる」と語る。

 また、優先順位を付けて対応しようとした時、「パッチを当てる」という実作業が発生する。これもまた、可能な限り迅速であることを求められながら、様々なユーザーとの調整も必要であり、時間も手間もかかるものだ。ましてや、サーバーOSだけでなく、クライアントPCのOSまで含めれば、システム規模によっては数万台におよぶこともあるだろう。

 それに、そうしたパッチ適用の状況を把握したくなるのも当然のことだ。しかし、パッチ適用前後とも、どの対象物にどのパッチが適用されているか、正確に把握するには個別のOSやソフトウェアごとに直接確かめる必要があり、現実的とは言い難い。

 鈴木氏は「こうした様々な課題について、Excelやスプレッドシートなどを使用して属人的に対応している組織はまだ多い。情報の一元化が実現されれば、リスクと現状を的確に把握することでセキュリティの向上が期待でき、情報システム部門の業務が可視化・効率化できるはず」と語る。

次のページ
パッチ管理を効率化するときに押さえたい“5つの機能”

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
Security Online Day 2023 春の陣レポート連載記事一覧

もっと読む

この記事の著者

伊藤真美(イトウ マミ)

フリーランスのエディター&ライター。もともとは絵本の編集からスタートし、雑誌、企業出版物、PRやプロモーションツールの制作などを経て独立。ビジネスやIT系を中心に、カタログやWebサイト、広報誌まで、メディアを問わずコンテンツディレクションを行っている。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

提供:ゾーホージャパン株式会社

【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/17552 2023/04/12 10:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング