パッチ管理とは?適用方法と運用サイクルの課題・解決方法について解説

INDEX

    「パッチ」は、服に穴ができた際に使うあて布や端切れのことですが、この裁縫用語はプログラミングの世界でも使われるようになりました。ソフトウェアに穴やほころび(バグ)が発生した際につくられる修正用のファイルが「パッチ」で、それらを適用したり、適用状況を把握し管理することが「パッチの管理(パッチ管理)」です。大がかりな修正が見つかった場合は、バージョンアップでの対応となりますが、小さな穴はパッチ管理で対応します。ソフトウェア全体を配布するよりも修正箇所のプログラムだけを配布した方が通信量を抑えることができるところにパッチ管理のメリットがあります。
    インターネットが普及していない時代、パッチはフロッピーディスクやCD-ROMで提供されていました。それが、インターネット、とりわけブロードバンドが普及するとパッチ用プログラムはネット配信が一般的になり、スピーディーにできるようになりました。
    パッチの代表的な例は、Microsoft が提供する Windows Update です。Windows の不具合を見つけ次第自動的にアップデートし、修復します。
    本コラムでは、これらのパッチ管理の重要性や課題、その解決方法をご紹介します。


    情報漏洩やシステム障害を防ぐパッチ管理

    パッチはプログラム開発者にとって欠くことのできない重要なもので、プログラムを使う企業側のシステム部門の担当者にとっても不可欠なものといえます。
    コンピュータの黎明期から開発者はパッチの公開やその管理が求められていましたが、PCでパッチが必要になったのは1980年代からです。このころのパッチの目的は、主に障害対策でした。システムがハングアップするなどプログラムを原因とした不具合が発生した場合、エンドユーザーからのクレームに対処するため、開発ベンダーはパッチを開発し、ユーザーの元に送っていました。
    このころのパッチは開発時の欠陥に対応するためのものでした。しかし、1990年代半ばになって思わぬ敵が現れます。コンピュータウイルスの猛威です。コンピュータウイルスはすでに1980年代から登場していましたが、フロッピーディスクから感染する程度で、多くの人にとっては脅威と呼べるレベルではありませんでした。
    しかし、1990年代に入り、メールやプログラムデータの交換が行われるようになり、さらに90年代半ばにインターネットが普及し、企業や生活の中に一気に広がっていきます。このネットワークを通じて、悪意を持つプログラム(コンピュータウイルス)が忍び込んできたのです。
    同時にPCも大流行しました。1995年に Windows 95 が発売され、多くの企業でPCを大量に導入するようになります。90年代後半には1人1台のPC配布も珍しくなくなりました。台数が増えただけではありません。PCを誰もが利用し得る環境になった結果、利用する人間のリテラシーも低下し、セキュリティへの危機意識が希薄になったのです。
    コンピュータウイルスを象徴する事件が2000年に発生したラブレター(LoveLetter)です。「アイラブユー」(I love you)という件名で大量の電子メールを送信し、世界で4500万台が感染したと報告されています。さらに、CodeRed や Nimda、Slammer などのコンピュータウイルスにシステムが狙われるようになりました。
    ここにおいて、世界中のPC利用者はコンピュータウイルスの恐ろしさを知ることになります。また、「セキュリティホール」という言葉も耳にするようになります。「OSにセキュリティホールがあって、そこからコンピュータウイルスが入り込む」「セキュリティホールをパッチでふさげばいい」「パッチ管理がしっかりしていればコンピュータウイルスを防御できる」と指摘されるようになりました。
    パッチ適用の有効性が説かれるようになってから、長い期間が経過していますが、いまだに管理の不備からセキュリティリスクにさらされている企業は少なからずあります。それはパッチ管理の運用に多くの課題が残されているためです。

    企業に求められるパッチ管理の運用管理サイクルの課題と解決法

    パッチの適用は一度行えば終わりというものではありません。さまざまなOSやソフトウェアで発生する脆弱性に対応するため、常に管理を行う必要があります。その作業負担を分散するために、やむなくPCの使用者に管理を任せているという企業もあるでしょう。しかし、使用者のリテラシーには大きな格差があり、パッチを適用しない使用者が出てくるなど、セキュリティリスクが伴います。やはり、一部の管理者に運用を任せるのが最善といえます。
    また、パッチ管理を行うための運用サイクルを構築することも不可欠です。漠然と管理を行っていては、手間ばかりが増え、不完全な管理しかできない場合も少なくありません。そのため、効率よく、確実に管理を行うための運用サイクルが必要となってくるのです。もちろん、運用サイクルですべての問題が解決するわけではありません。そこで、ここでは運用サイクルの手順と課題、その解決方法について解説します。


    パッチ管理の運用サイクル手順と課題、その解決方法

    ①脆弱性情報の確認

    [内容・課題]
    現状公開されている脆弱性情報を確認します。ベンダーからはパッチが配布される際に、そのソフトウェアが抱えている脆弱性についての説明も提供されます。それを確認し、自社のPCにパッチが必要かどうかを確認しなければなりませんが、手作業での確認には大きな手間がかかります。

    [解決策]
    パッチ管理ツールには、公開場所を特定し、自動的に必要な情報を一覧する機能が用意されています。こちらから探しに行く必要がないため、うっかり見過ごすというミスも防止できます。

    ②社内の脆弱性有無状況を把握(資産調査)

    [内容・課題]
    パッチ管理を行う際にまず行わなければならないのが、ソフトウェアのインストール状況の把握です。これができなければ、どのPCにどのパッチが必要とされているかを確認することができません。しかし、PCの一台一台には多くのソフトウェアがインストールされているため、PCの台数が一定数に達すると、手作業での把握は困難になります。

    [解決策]
    これに解決するものとして資産管理ツールがあります。このツールにより、社内ネットワークに接続されているPCの台数、設置場所、接続されている周辺機器の種類、OSの種類、ソフトウェアの種類とバージョン情報、所有者、購入日などを自動的に管理することが可能になります。資産管理ツールは比較的早くから製品化されており、2000年代初頭から提供されています。当初はとても高価でしたが、現在では手ごろな価格で入手できるものもあります。

    ③最新パッチの入手

    [内容・課題]
    脆弱性の確認により、パッチの適用が必要と判断したら、最新のパッチを入手します。一般的に最新版の方が、古いものよりも脆弱性対策が進んでいます。ただし、使用の環境によってはかえって不具合を引き出す危険性があるため、その確認作業も必要となります。

    [解決策]
    これもパッチ管理ツールで大幅に省力化することが可能です。このツールにより、自社のPCにインストールされているソフトウェアの最新パッチを一覧できます。また、適用による影響についてもツールが確認してくれます。

    ④パッチ適用のスケジュール作成

    [内容・課題]
    PCの管理者はパッチ適用のスケジュールを作成する必要があります。セキュリティのリスクを避けるため、適用は迅速に行う必要がありますが、その一方で、ネットワークの負荷を考え、グループ分けをして適用を行うなど、運用方法についても考慮する必要があります。また、業務時間内に停止することができないPCなどもあり、煩雑な作業となります。

    [解決策]
    パッチ管理ツールには、スケジュール作成を支援する機能を備えたものもあります。諸条件に対応したスケジュールをいったんツール側が自動作成し、それを必要に応じて修正するなど、作業負担の軽減に役立ちます。

    ⑤パッチ適用のスケジュール作成

    [内容・課題]
    スケジュールに従って、パッチの通知と適用を実施します。手作業で行う場合、後回しにされがちな作業ですが、そのことがセキュリティホール放置につながります。

    [解決策]
    自動で適用するツールが提供されており、比較的入手しやすくなっています。ただし、適用する際のルールが必要となります。PCの使用者が実施するのか、管理者が実施するのかをあらかじめ決定しておかなければなりません。使用者が実施する場合はAdministratorの権限を持たせなければならず、セキュリティに不安が発生します。

    ⑥適用状況の確認

    [内容・課題]
    パッチ適用後に新たな不具合が発生していないかを確認します。PCの使用者からも聞き取りを行います。

    [解決策]
    適用状況の確認もツールが機能を提供しています。管理者は日々モニタリングをすることになります。

    img

    Windowsのパッチを含むアップデートを制御・管理する方法がよくわからない方におすすめしたいこと

    次にWindowsのパッチを含むアップデートを制御・管理する方法がよくわからない方におすすめしたいことをご紹介します。

    IT資産管理という考え方、仕組みをしっかりと知っておく

    Windowsのパッチを含むアップデートを制御、管理するためにはIT資産管理という考え方、仕組みを知ることから始めましょう。
    IT資産とはパソコンやスマートフォン、タブレット、プリンタやネットワーク機器など電子的なデバイスを指します。IT資産管理はそれらのデバイスを一元的に管理する考え方・仕組みと言えます。
    IT資産管理の考え方と仕組みを知り、導入することで物理的なデバイスの管理とデバイスの内面であるOSやソフトウェアの管理が可能となります。Windowsのパッチを含むアップデートを制御・管理する際に必須であること、闇雲に一台ずつデバイスをアップデートする時代ではないということを、まずは覚えておきましょう。

    OS、ソフトウェアのアップデートとライセンス管理の状況を把握する

    IT資産管理システムの仕組み・機能にはOSやソフトウェアのアップデートを把握し、制御するものがあります。ネットワークでつながっているデバイスであれば、どのような状況なのか管理できるということです。
    また、OSやソフトウェアの有償(課金)のライセンス管理についても把握できるものもあります。OSもソフトウェアも物理的な管理がしにくく、どのデバイスにどのOS・ソフトウェアがインストールされているか把握しにくいため、ライセンス管理が導入されることで、無駄なコストの削減にもつながります。

    自動化なら手動で一台ずつパッチ管理を行わずに済むということ

    IT資産管理によってパッチを含むアップデートの制御が可能になれば、デバイスを一台ずつ手動でアップデートする必要がありません。業務時間外、もしくは時間を指定して一括でアップデートすることが可能となり、漏れが発生しにくくなるので安心です。
    また、情報システム部やセキュリティ担当の労力や時間の浪費の削減にもつながります。実際に物理的かつ手動でアップデートする場合、デバイスの台数、部門や部署の数、そしてそれぞれの特性に合わせて調整なども必要ですが、IT資産管理によって管理されていれば手元のパソコンで操作するだけでアップデート処理が行えるからです。

    物理的なデバイス管理を遠隔(リモート)でかつ自動化できる

    パッチを含むアップデート管理を手動で行わなくてはならない場合、「現地に行かなければ」対応ができません。同じビルや建物の中であればそれほど労力も時間も浪費しませんが、支店や支社、実店舗ごとに対応しなければならないとなれば、大変なコストを浪費します。
    IT資産管理によって、安全にネットワークでつながれているデバイスであれば、デバイス管理そのものを遠隔(リモート)で制御、管理できるようになり、かつ自動化できるため労力や時間の浪費を大幅に削減することが可能です。

    情報資産管理の仕組み、考え方についても理解しておこう

    IT資産管理とともに情報資産管理の仕組み・考え方についても理解しておくことをおすすめします。情報資産管理における情報資産とは、企業や組織における活動の中で日々発生するデータを指しており、いわゆる個人情報や機密情報、顧客情報などさまざまな情報を含む電子データとしての情報です。
    言い換えればセキュリティ対策と呼ばれる部分でもあり、情報システム部やセキュリティ担当の本業とも言える実務と言えます。そのため、IT資産管理ばかりに注力するのではなく、情報資産管理にも注力すれば、さらにセキュリティ性を高めることにつながります。


    そもそも、情報システム部やセキュリティ担当などセキュリティ基盤がない場合は?

    次に情報システム部やセキュリティ担当など、セキュリティ基盤がない場合にどうすれば良いか説明します。

    IT資産管理と情報資産管理が導入できる統合的なセキュリティシステムを導入

    パッチ管理、アップデート管理、ライセンス管理など、IT資産管理について少しずつ理解は深まったものの、具体的に何をすれば良いかわからずお悩みかもしれません。もし、そもそも情報システムやセキュリティ部門がない、セキュリティ基盤がないとお悩みであれば、IT資産管理や情報資産管理が導入できるシステムの導入を目指しましょう。
    IT資産管理によってデバイスを管理し、情報資産管理によってデータを管理できるようになれば、各種サイバー攻撃だけでなく、内部不正への対策も強化できます。また、デバイスだけでなく、稼働しているOS・プログラムも含めて監視および管理できる体制も整うため、日常的なセキュリティ監視と防御を強化したい場合にもおすすめです。

    統合的なセキュリティシステムの提供もとのベンダーを探すべき

    セキュリティシステムには向き・不向きや、内部不正対策のみ、ウイルス対策のみ、特定のサイバー攻撃のみなど専門や特化しているツールやソフトなどさまざまです。セキュリティ対策においては首尾一貫した管理体制、いわゆる一元管理ができた方が安全ですし、何よりも管理しやすいです。
    そのため、まだセキュリティシステムが不完全だ、もしくは導入しきれていないとお悩みであれば、統合的なセキュリティシステムを提供しているベンダーを探しましょう。特にセキュリティ基盤がない状態で、ウイルス対策ソフト、管理系のソフト、その他に社内システムや基幹システムなど、それぞれバラバラに管理し、セキュリティ性を確保するのはとても大変です。一元管理が可能、IT資産管理と情報資産管理が導入可能、そして統合的にセキュリティ管理が可能なシステムを選びましょう。

    素人判断で「セキュリティ対策をしたつもり」にならないように注意

    セキュリティに疎い、または、そもそもITに疎い、ITに苦手意識があるような環境ですと、素人判断でセキュリティ対策をしたつもりになりがちです。実際、セキュリティはそれなりの知識と経験を持ち、常に最新の情報をキャッチし、かつ未知の脅威やリスクも想定してリアルタイムに監視・防御し続けねばならないような専門性の高い作業であり、業務です。そのため、何かのソフトをインストールして終わりというようなことはありません。
    もちろん、いきなりセキュリティ基盤のための人材を集めるのは難しいですから、まずは総合的なセキュリティシステムの導入、その時点でベンダーともよく相談して、セキュリティ人材の雇用や育成を計画するなど、セキュリティ体制を構築する、ひとつの部門や部署を作るといった観点を持つことをおすすめします。

    セキュリティに対する投資を時間・費用・人材の3点から強化しよう

    セキュリティには時間・費用・人材の3点を強化することから始めましょう。特にセキュリティ系の部門や部署においては、雇用するための時間、育成するための時間、パッチが安心・安全に利用できるか検証・テストする時間など多くの時間を必要とします。
    その上で安心・安全に業務が遂行できるように調整すること、リアルタイムな攻撃への対処、セキュリティインシデントが発生した時の状況把握など、自由に動ける時間も必要となります。ある程度の権限を持たせることも大事であり、時には業務全体を停止させて、安全性を確保するという判断も任せられるようにしておくことも大切です。

    段階的にDXの推進や働き方改革にも着手することも大事

    セキュリティ基盤とセキュリティ人材による体制が構築されることで、ようやくDXの推進や働き方改革を安心・安全に進められるようになります。逆に言えば、セキュリティ基盤がない状態でDXの推進や働き方改革を行ってしまうのはリスクや脅威があるということです。
    安心・安全にDXの推進や働き方改革を進められるようになれば、企業や組織としての成長力も高まり、IT格差も生じず、かつ2025年の崖問題にも対処できるようになるでしょう。同時に働きやすい環境を整えられるようになることから、雇用および人材に関する悩みも解消も期待できます。
    セキュリティ基盤がしっかりとしているかどうかが、これから先の企業や組織における責任であると同時に、業務の根幹となるということを理解しておきましょう。


    まとめ:自動化が精度の高いパッチ管理を実現

    以上に紹介したように、個々のステップは各ツールが支援してくれます。残された問題は、これらのサイクルを一貫して自動化できるかどうかです。どこか1つに漏れがあると、その部分のみが手作業になり、全体の「遅延」やパッチ管理の「漏れ」が発生します。 これらの対応「遅延」や「漏れ」がセキュリティ管理上は致命的となります。脆弱性が発覚すると間を置かず攻撃してくるゼロデイ攻撃があり、一部の小さなセキュリティホールから、重要な情報が漏洩する危険性もあります。
    現在必要とされているのは、パッチ管理の運用サイクルを任せ、全体の最適化ができるツールです。まだExcelでIT資産管理をしている企業や組織のみなさまは、この機会に管理ツールの導入を検討し直してみてはいかがでしょうか。 また、すでに資産管理ツールやパッチ配布ツールを導入していたとしても、一部の機能だけでは、漏れのない管理は困難です。運用サイクル全体最適の視点からもう一度見直してみましょう。
    もし、具体的にどのツールを導入すれば良いのかお悩みであれば、当社の提供するIT資産管理ソフト「AssetView」をおすすめします。Windowsのアップデートに関する制御および管理の最適化・効率化が可能であり、各種ソフトウェアのライセンス管理も含めて、IT資産と情報資産の管理が実現できますので、ぜひともこの機会にご相談、お問い合わせください。


    お役立ち資料

    • お役立ち資料

      Windows10更新管理の教科書

      資料ダウンロード
    • 市場調査レポート

      小売業のモバイル端末「紛失対策」実態調査
      多店舗展開している小売業、半数以上が「スマホ・タブレットの管理」に不安あり

      資料ダウンロード
    • 製品概要

      すぐわかる!AssetView

      資料ダウンロード

    人気ランキング


    開催イベント

    • 情シスが経営層を説得するために押さえておきたい3つのポイントを解説!

      アーカイブ配信

      常時開催

      情シスが経営層を説得するために押さえておきたい3つのポイントを解説!

    • 社内からの漏洩事件多発!AssetViewだから出来る『重要情報』の漏洩対策とは?

      アーカイブ配信

      常時開催

      社内からの漏洩事件多発!AssetViewだから出来る『重要情報』の漏洩対策とは?

    • 情シス担当に調査!SaaS管理をとりまく実態とは?

      アーカイブ配信

      常時開催

      情シス担当に調査!SaaS管理をとりまく実態とは?

    • 金融分野における個人情報保護に関するガイドライン解説セミナー

      アーカイブ配信

      常時開催

      金融分野における個人情報保護に関するガイドライン解説セミナー

    • 「自動車産業サイバーセキュリティガイドライン」の解説から対策まで

      アーカイブ配信

      常時開催

      「自動車産業サイバーセキュリティガイドライン」の解説から対策まで

    • PCログのレポート作成業務を支援!~「Splunk」「ALog」とのスムーズな連携を実現~

      アーカイブ配信

      常時開催

      PCログのレポート作成業務を支援!~「Splunk」「ALog」とのスムーズな連携を実現~

    • 30分で完全理解!~ランサムウェアの感染防止・感染後の対応・復旧までのケーススタディセミナー~

      アーカイブ配信

      常時開催

      30分で完全理解!~ランサムウェアの感染防止・感染後の対応・復旧までのケーススタディセミナー~

    • 最新事例に学ぶ!情報漏洩を未然に防ぐ「USBメモリー管理」とは?

      アーカイブ配信

      常時開催

      最新事例に学ぶ!情報漏洩を未然に防ぐ「USBメモリー管理」とは?

    • 『内部不正』が起きる要因と対策が分かるセミナー

      アーカイブ配信

      常時開催

      『内部不正』が起きる要因と対策が分かるセミナー

    • 『IT資産管理の費用対効果』が説明できるようになるセミナー

      アーカイブ配信

      常時開催

      『IT資産管理の費用対効果』が説明できるようになるセミナー

    ハンモックのプロダクト

    • AssetsView Cloud
      IT統合管理ソフトウェア(クラウド)
      VPN不要で、働き方に問わず
      様々な環境下にある端末を一元管理
    • ホットプロファイル
      名刺管理、営業支援ツール
      名刺管理とマーケティング機能が一体化した
      SFA・営業支援ツールの決定版
    • WOZE
      クラウド型データエントリーサービス
      業界最安値で正確かつ迅速に、あらゆる書類をデータ化
    • AssetsView
      IT統合管理ソフトウェア(オンプレミス)
      PCの資産管理や情報漏洩対策を強化する、
      機能が選べるIT統合管理ソフトウェア
    • ホットアプローチ
      フォーム営業ツール
      法人の新規開拓営業に必要な営業先リストと
      自動営業方法をセットにした営業支援サービス
    • AnyForm OCR
      書式を問わないOCRソフト
      これまで実現できなかった、帳票レイアウトが
      非定型な活字帳票に対応できるOCRソフト

    資料一覧はこちら