ハンモック ホーム

株式会社ハンモックは、IT資産管理、情報漏洩対策、名刺管理、営業支援、
データエントリー業務の効率化を実現する法人向けソフトウェアメーカーです。


目的別コンテンツ

img情報セキュリティ対策

情報セキュリティ対策に役立つコラム

企業や組織で求められるパッチ管理

Security「パッチ」は、服に穴ができた際に使うあて布や端切れのことですが、この裁縫用語はプログラミングの世界でも使われようになりました。ソフトウェアに穴やほころび(バグ)が発生した際につくられる修正用のファイルが「パッチ」で、それらを適用したり、適用状況を把握し管理することが「パッチの管理(パッチ管理)」です。大がかりな修正が見つかった場合は、バージョンアップでの対応となりますが、小さな穴はパッチ管理で対応します。ソフトウェア全体を配布するよりも修正箇所のプログラムだけを配布した方が通信量を抑えることができるところにパッチ管理のメリットがあります。
インターネットが普及していない時代、パッチはフロッピーディスクやCD-ROMで提供されていました。それが、インターネット、とりわけブロードバンドが普及するとパッチ用プログラムはネット配信が一般的になり、スピーディーにできるようになりました。
パッチの代表的な例は、Microsoft が提供する Windows Update です。Windows の不具合を見つけ次第自動的にアップデートし、修復します。
本コラムでは、これらのパッチ管理の重要性や課題、その解決方法をご紹介します。


情報漏洩やシステム障害を防ぐパッチ管理

パッチはプログラム開発者にとって欠くことのできない重要なもので、プログラムを使う企業側のシステム部門の担当者にとっても不可欠なものといえます。
コンピュータの黎明期から開発者はパッチの公開やその管理が求められていましたが、PCでパッチが必要になったのは1980年代からです。このころのパッチの目的は、主に障害対策でした。システムがハングアップするなどプログラムを原因とした不具合が発生した場合、エンドユーザーからのクレームに対処するため、開発ベンダーはパッチを開発し、ユーザーの元に送っていました。
このころのパッチは開発時の欠陥に対応するためのものでした。しかし、1990年代半ばになって思わぬ敵が現れます。コンピュータウイルスの猛威です。コンピュータウイルスはすでに1980年代から登場していましたが、フロッピーディスクから感染する程度で、多くの人にとっては脅威と呼べるレベルではありませんでした。

しかし、1990年代に入り、メールやプログラムデータの交換が行われるようになり、さらに90年代半ばにインターネットが普及し、企業や生活の中に一気に広がっていきます。このネットワークを通じて、悪意を持つプログラム(コンピュータウイルス)が忍び込んできたのです。
同時にPCも大流行しました。1995年に Windows 95 が発売され、多くの企業でPCを大量に導入するようになります。90年代後半には1人1台のPC配布も珍しくなくなりました。台数が増えただけではありません。利用する人間のリテラシーも低下し、セキュリティへの危機意識が希薄になったのです。
コンピュータウイルスを象徴する事件が2000年に発生したラブレター(LoveLetter)です。「アイラブユー」(I love you)という件名で大量の電子メールを送信し、世界で4500万台が感染したと報告されています。さらに、CodeRed や Nimda、Slammer などのコンピュータウイルスにシステムが狙われるようになりました。

ここにおいて、世界中のPC利用者はコンピュータウイルスの恐ろしさを知ることになります。また、「セキュリティホール」という言葉も耳にするようになります。「OSにセキュリティホールがあって、そこからコンピュータウイルスが入り込む」「セキュリティホールをパッチでふさげばいい」「パッチ管理がしっかりしていればコンピュータウイルスを防御できる」と指摘されるようになりました。
パッチ適用の有効性が説かれるようになってから、長い期間が経過していますが、いまだに管理の不備からセキュリティリスクにさらされている企業は少なからずあります。それはパッチ管理の運用に多くの課題が残されているためです。

ページ先頭へ


企業に求められるパッチ管理の運用管理サイクルの課題と解決法

パッチの適用は一度行えば終わりというものではありません。さまざまなOSやソフトウェアで発生する脆弱性に対応するため、常に管理を行う必要があります。その作業負担を分散するために、やむなくPCの使用者に管理を任せているという企業もあるでしょう。しかし、使用者のリテラシーには大きな格差があり、パッチを適用しない使用者が出てくるなど、セキュリティリスクが伴います。やはり、一部の管理者に運用を任せるのが最善といえます。

また、パッチ管理を行うための運用サイクルを構築することも不可欠です。漠然と管理を行っていては、手間ばかりが増え、不完全な管理しかできない場合も少なくありません。そのため、効率よく、確実に管理を行うための運用サイクルが必要となってくるのです。もちろん、運用サイクルですべての問題が解決するわけではありません。そこで、ここでは運用サイクルの手順と課題、その解決方法について解説します。

パッチ管理の運用サイクル手順と課題、その解決方法

①脆弱性情報の確認

[内容・課題]
現状公開されている脆弱性情報を確認します。ベンダーからはパッチが配布される際に、そのソフトウェアが抱えている脆弱性についての説明も提供されます。それを確認し、自社のPCにパッチが必要かどうかを確認しなければなりませんが、手作業での確認には大きな手間がかかります。

[解決策]
パッチ管理ツールには、公開場所を特定し、自動的に必要な情報を一覧する機能が用意されています。こちらから探しに行く必要がないため、うっかり見過ごすというミスも防止できます。

②社内の脆弱性有無状況を把握(資産調査)

[内容・課題]
パッチ管理を行う際にまず行わなければならないのが、ソフトウェアのインストール状況の把握です。これができなければ、どのPCにどのパッチが必要とされているかを確認することができません。しかし、PCの一台一台には多くのソフトウェアがインストールされているため、PCの台数が一定数に達すると、手作業での把握は困難になります。

[解決策]
これに解決するものとして資産管理ツールがあります。このツールにより、社内ネットワークに接続されているPCの台数、設置場所、接続されている周辺機器の種類、OSの種類、ソフトウェアの種類とバージョン情報、所有者、購入日などを自動的に管理することが可能になります。資産管理ツールは比較的早くから製品化されており、2000年代初頭から提供されています。当初はとても高価でしたが、現在では手ごろな価格で入手できるものもあります。

③最新パッチの入手

[内容・課題]
脆弱性の確認により、パッチの適用が必要と判断したら、最新のパッチを入手します。一般的に最新版の方が、古いものよりも脆弱性対策が進んでいます。ただし、使用の環境によってはかえって不具合を引き出す危険性があるため、その確認作業も必要となります。

[解決策]
これもパッチ管理ツールで大幅に省力化することが可能です。このツールにより、自社のPCにインストールされているソフトウェアの最新パッチを一覧できます。また、適用による影響についてもツールが確認してくれます。

④パッチ適用のスケジュール作成

[内容・課題]
PCの管理者はパッチ適用のスケジュールを作成する必要があります。セキュリティのリスクを避けるため、適用は迅速に行う必要がありますが、その一方で、ネットワークの負荷を考え、グループ分けをして適用を行うなど、運用方法についても考慮する必要があります。また、業務時間内に停止することができないPCなどもあり、煩雑な作業となります。

[解決策]
パッチ管理ツールには、スケジュール作成を支援する機能を備えたものもあります。諸条件に対応したスケジュールをいったんツール側が自動作成し、それを必要に応じて修正するなど、作業負担の軽減に役立ちます。

⑤パッチ適用のスケジュール作成

[内容・課題]
スケジュールにしたがって、パッチの通知と適用を実施します。手作業で行う場合、後回しにされがちな作業ですが、そのことがセキュリティホール放置につながります。

[解決策]
自動で適用するツールが提供されており、比較的入手しやすくなっています。ただし、適用する際のルールが必要となります。PCの使用者が実施するのか、管理者が実施するのかをあらかじめ決定しておかなければなりません。使用者が実施する場合はAdministratorの権限を持たせなければならず、セキュリティに不安が発生します。

⑥適用状況の確認

[内容・課題]
パッチ適用後に新たな不具合が発生していないかを確認します。PCの使用者からも聞き取りを行います。

[解決策]
適用状況の確認もツールが機能を提供しています。管理者は日々モニタリングをすることになります。


img


自動化が精度の高いパッチ管理を実現

以上に紹介したように、個々のステップは各ツールが支援してくれます。残された問題は、これらのサイクルを一貫して自動化できるかどうかです。どこか1つに漏れがあると、その部分のみが手作業になり、全体の「遅延」やパッチ管理の「漏れ」が発生します。 これらの対応「遅延」や「漏れ」がセキュリティ管理上は致命的となります。脆弱性が発覚すると間を置かず攻撃してくるゼロデイ攻撃があり、一部の小さなセキュリティホールから、重要な情報が漏洩する危険性もあります。

現在必要とされているのは、パッチ管理の運用サイクルを任せ、全体の最適化ができるツールです。まだExcelでIT資産管理をしている企業や組織のみなさまは、この機会に管理ツールの導入を検討し直してみてはいかがでしょうか。 また、すでに資産管理ツールやパッチ配布ツールを導入していたとしても、一部の機能だけでは、漏れのない管理は困難です。運用サイクル全体最適の視点からもう一度見直してみましょう。


AssetView でパッチ管理の課題を解決

img煩雑なパッチ管理の運用を極限まで自動化!
脆弱性対策『AssetView P』



『情報セキュリティ対策』へ戻る

『AssetView による情報漏洩対策』へ


企業や組織で求められるパッチ管理|IT資産管理ソフトウェア『AssetView(アセットビュー)』

IT資産管理、ログ管理などのIT統合管理ソフトウェア『AssetView』はPCのセキュリティ対策や情報漏洩対策を強化し、業務効率化やPCのライフサイクル管理を支援します。 IT管理スタイルの数だけ、変幻自在。必要な機能やサービスをオーダーメイド感覚でご提供します。 多彩な機能から必要なもののみを選んで導入することができ、それぞれが安価なためコスト削減を実現します。

ページ先頭へ

標的型攻撃対策

情報漏洩対策

フリーの名刺管理ツールは危険

イベント情報

イベント情報

アービーのご紹介

メールマガジン

ページ先頭へ

gray
<企業や組織で求められるパッチ管理 - AssetView>
法人向けソフトウェアメーカー【ハンモック】のWebサイトをご覧のみなさま

株式会社ハンモックは、IT資産管理、情報漏洩対策、名刺管理、営業支援、データエントリー業務の効率化を実現する法人向けソフトウェアメーカーです。パッケージソフトウェアおよびその組み合わせによるソリューションを、目的別、悩み別にご提案します。実際に導入した企業様の事例もご紹介。オフィスの業務効率化をハンモックがサポートいたします。
法人向けソフトウェアメーカー
株式会社ハンモック
マイナンバー  プライバシーマーク   ISO
ハンモック ホーム | 個人情報保護方針について | 情報セキュリティ基本方針および特定個人情報保護基本方針について | 本Webサイトについて | お問い合わせ | サイトマップ
株式会社ハンモック © 2017 Hammock Corporation