管理者がパッチ運用から解放される日はいつ？

パッチ配布／適用を自動化する「HFNetChekPRO」の開発元、Shavlik Technologiesのマーク・シャブリック氏によると、管理者がパッチ運用に悩まされる時期は当面続くという。

[高橋睦美，ITmedia]

　「少なくともあと10〜15年の間は、パッチに悩まされる状況はなくならないだろう」――6月16日、ネットワールドとともに、パッチ管理／適用ツール「HFNetChkPRO4」日本語版を投入した米Shavlik Technologiesの創設者兼CEO、マーク・シャブリック氏はこのように語った。

　同氏がMicrosoftと協働作業を開始し、パッチ管理のための製品を提供し始めたのは、1999年のこと。だがそれ以前から、セキュリティやワームに対する危険性を感じていたという。

　「会社を設立した1994年ごろ、われわれはメインフレームからPCへの移行を支援する仕事を手がけていた。その当時から、PCへの移行においてはセキュリティが問題になると考えていた。高いセキュリティを備えたメインフレームに対し、PCにはほとんどセキュリティがないのにもかかわらず、同じデータを扱うことになる。それゆえリスクは非常に大きい」（シャブリック氏）。

　こういった問題意識から、Shavlikではパスワード管理やパッチ管理にまつわる製品を開発、提供してきた。中でもHFNetChkPROは、多くのパートナーや顧客からの支持を得ている製品だ。もっと早期に日本市場へ参入してもよさそうなものだったが、「日本語化や準備に多くの時間を費やし、きっちり体制を整えた上でこのたびの投入に至った」と同氏は言う。

今後は「マルウェアやフィッシング詐欺への対応が重要になるだろう」とも述べたシャブリック氏

パッチ適用の柔軟な制御を

　「管理者は現在、パッチを適用し、ウイルス対策ソフトを更新し、またパッチを当てて……という作業に追われ、大きく時間をとられてしまっている」（シャブリック氏）。

　この問題を解決するために提供しているのが、HFNetChkPROだ。「必要なパッチを選択すれば、あとはボタン1つでプッシュ形式でパッチが配信、適用される。ユーザーにとって非常にシームレスなソリューションだ」（同氏）。

　特徴は、端末に専用エージェントをインストールする必要がない、スキャン型の製品であること、パッチ適用／運用を柔軟に行えるさまざまな機能がサポートされていることだ。

　現にパッチ適用にまつわる問題として、「いったん検証を行わないと安心して適用できない」「できる限りリブートを減らし、ダウンタイムを極小化したい」といった声が上がっている。Shavlikではこうしたニーズに応えるため、パッチ適用のスケジュール化やパッチ／スキャンのグループ化、適用結果の成否を確認できるレポート機能やロールバック機能などを製品に搭載してきた。消費トラフィックを最小限に抑えるリレーサーバ機能や、管理者がパッチ適用作業についてエンドユーザーに知らせるための電子メール通知機能などもサポートする。

　さらに販売代理店のネットワールドでは、Shavlik側が用意する検証環境に加え、同社内にもテストラボを用意し、パッチの動作検証を行えるようにするという。ユーザー個別の環境に合わせた検証作業を、一種のマネージドサービスとして展開することも考えているという。

　また、「管理者にとってはサーバをオフラインにしないことが重要」（シャブリック氏）であることから、複数のパッチを当てる際に何度も再起動を繰り返すのではなく、まとめてパッチを適用し、最後に一度だけ再起動すればよい仕組みを提供した。さらに、リブートのタイミングについても、今すぐ再起動させるのか、それとも一通り仕事を終えてから再起動するかなどの制御が行える。「管理者がハイレベルなコントロールを行える」（同氏）。

　なお、リブート回数の削減については「マイクロソフトでも取り組みを進めており、なかなかいい結果になりそうだ」と同氏はコメントしている。

　今後は、LinuxなどWindows以外のプラットフォームについてもパッチの管理を行える新製品を投入する計画だ。また、「エージェントレスのほうがより簡単に利用できる」（シャブリック氏）としながらも、ユーザーに選択肢を提供するという意味で、エージェントを利用するバージョンも提供する予定である。

　「現在のパッチ管理は、問題が起きてから初めて対応を取るというリアクティブなもの。それをプロアクティブに行えるよう支援していきたい」（同氏）。

ユーザーも「学習しつつある」

　パッチの適用／管理が管理者にとって大きな負担ならば、最初からパッチ適用が不要なソフトウェアさえできれば、問題は解決されるはずだ。現に最近では、初めから安全なソフトウェアを開発するためのセキュアなプログラミング技法の研究が進んでいる。だが、たとえこうした研究の成果が出てきたとしても、当面はパッチに悩まされる時期が続くとシャブリック氏は言う。

　「現在あるソフトウェアのコードのほとんどがC言語で書かれ、それが接続性を優先してセキュリティに欠けるインターネット経由で利用されている。いずれも数十年前に生まれたテクノロジであり、（セキュリティが不十分であるにもかかわらず）いまだに基盤となっている」（シャブリック氏）。同氏はまた、入力文字の未チェックといったコーディング技法上の問題についても指摘した。

　現在利用されているC言語ベースのソフトウェアの多さを考えると、そうすぐには状況は変わらない、というのがシャブリック氏の見方だ。「たとえばMicrosoftは2年前から、『Trustworthy Computing』を掲げて、製品に対するコードレビューに膨大な額を投じてきた。それでもなお、パッチは必要だ」（同氏）。

　「パッチは非常にクリティカルなものだ」（シャブリック氏）。特に、年に2度ほどのペースで起きている、ワームの爆発的感染などの緊急時には問答無用で適用すべき、という風潮ができあがってきた。

　ここで難しいのは、どのパッチを適用すべきかの見極めだ。かつては年に何度かのペースで公開されてきたパッチだが、今では毎月（ときにはそれ以上に頻繁に）、複数のパッチが公開されるようになっている。

　「後からアンインストールできるだろうと安易に考え、とりあえずパッチをインストールしてしまうという方法もあるが、あまりいいやり方だとはいえない。本番環境と同様のテスト環境を用意し、テストしてOKであれば配布するというやり方が望ましい」（シャブリック氏）。かといって、あまりに検証に時間をかけすぎたり、パッチを適用しないまま放置するわけにもいかないところが難しい問題だ。

　結局のところは、企業として「技術に明るい人員を用意し、予算を確保し、自動化できる部分は自動化する。それから、ユーザーに対するトレーニングを行うことが重要だ」（同氏）。

　一方で、明るい材料もあるという。「この問題に対する認識が広まりつつあり、製品側の対応も追いついてきている」ことだ。事実、今年発生したSasserワームの場合、昨年のBlasterなどのケースは異なり、被害からの復旧は比較的迅速だったとシャブリック氏。「漏れなくすべてに対策を施すのは簡単なことではない。だが人々は今、学習しつつある」（同氏）。