第1回 パッチマネジメントの必要性：効率的なパッチ適用、管理の実現に向けて（1/2 ページ）

OSやソフトウェアのセキュリティホールを狙う最近のウイルスやワームは、登場後あっという間に感染を広めてしまう。被害を最小限に食い止めるには、パッチ公開後迅速に、各PCに適用しておくことが重要だ。管理者にとってパッチマネジメントは、必須の作業といえるだろう。

[磯 貴浩（ラック），ITmedia]

　多くのネットワーク管理者は、2〜3年前までは外部からのセキュリティアタックやウイルスに対策の焦点を当て、ファイアウォールやゲートウェイ型のウイルス対策ソフトの導入を行い、外部ネットワークとイントラネットの境界線において、不正な通信の遮断さえ行っていればセキュリティ対策は万全と考えていた。そのためイントラネットのクライアントPCのセキュリティ対策は、おざなりとなっていた。

　しかしCodeRedやNimda、Slammerなど、OSやソフトウェアのセキュリティホールを突くワームの出現により、次第にクライアントPCのセキュリティ対策に目が向き始めている。特に、昨年のBlasterワームの出現により、外部ネットワークからの脅威のみ対応していればセキュリティ対策は万全に考えていたネットワーク管理者は、考えを大きく方向転換せざるを得なくなった。

　Blasterワームは、それ以前のウイルスやワームのように、PC上でウイルスプログラム（例えばメールに添付されたプログラムやスクリプト）を実行しなければ感染しないタイプのウイルスやワームではない。ユーザーが知らない間に、Windowsのセキュリティホールを利用してPCに感染し、セキュリティパッチを適用していないPCにネットワーク経由で次々と感染していくタイプのワームだ。

　外出先や自宅で仕事をするため、セキュリティパッチが適用されていない会社のノートPCを社外に持ち出すユーザーは多い。Blasterワームが登場したときには、そうして持ち出したPCをホットスポットや自宅などのセキュリティ対策が弱い環境で利用し、Blasterワームに感染した後、ワームに感染したことを知らずにノートPCをイントラネットに再接続するという感染例が各所で聞かれた。この結果、セキュリティパッチを適用していないイントラネット内のPCに次々と感染が広り、被害を拡大させた。

　また、今年発生したNetSkyワームのように、ウイルスの広がりが早く、ウイルス対策ベンダーの対応が間に合わないケースもある。同種のウイルスは、今後も発生する可能性がある。

　ここで例に挙げたBlasterやNetSkyは、いずれもWindowsのセキュリティホールを突いて感染を広げていくワームだ。だが、どちらも発生した時点で、マイクロソフトからそれぞれのセキュリティホールを修正するためのパッチが既にリリースされていた。このセキュリティパッチを早期に入手し、各PCに適用していれば、たとえワームに感染したノートPCがイントラネット内に持ち込まれたとしても感染の広がりは未然に防げたはずである。

図1■セキュリティパッチの早期適用の重要性

　こうして考えると、企業や部門のネットワークを管理するネットワーク管理者にとって、パッチマネジメントはもはや必要最低限の作業といえる。

パッチマネジメントの問題点

　だが、組織の隅々までを網羅してパッチマネジメントを実現するのは、そう簡単なことではない。代表的な問題点をいくつか挙げてみよう。

1.クライアントPCのパッチマネジメントをやむを得ずユーザー任せにしていることに起因する問題

　PC資産管理ソフトなどを利用して、クライアントPCのパッチマネジメントをある程度自動化することもできる。だが、費用面などの理由からやむを得ずパッチマネジメントをユーザー任せにしている企業は多いようだ。

　このような場合の運用法は主に2つあるだろう。1つは、ユーザーに手動でWindows Updateを行ってもらいセキュリティパッチを適用するという方法。もう1つは、ネットワーク管理者が前もって部門のサーバなどにセキュリティパッチをダウンロードしておき、その後、各ユーザーが適用すべきバッチをクライアントPCにダウンロードし、適用する、という方法だ。だがここには、問題となる点がいくつかある。

・管理者権限を与えるべきか、与えないべきか

　セキュリティパッチを適用するためには、クライアントPCの管理者権限が必要である。ユーザーにクライアントPCのユーザー権限しか与えていない場合、セキュリティパッチを適用することができない。パッチマネジメントをユーザー任せにしている場合は、やむを得ず管理者権限を与えていると思うが、それはつまり、ユーザーにとっては不必要な（不必要に大きな）権限が与えられた状態でもある。万一この状態を悪用されると、業務に無関係なソフトウェアや悪意あるソフトウェアをインストールされ、しかも管理者権限で動作させられるなど、別の重大なセキュリティホールになる可能性がある。

・クライアントPCのパッチ適用状況を把握できない

　Windows Updateを使用する場合、ユーザーが直接マイクロソフトのサイトにアクセスし、セキュリティパッチを適用する。そのためネットワーク管理者は、セキュリティパッチの適用状況を把握できないため、適用漏れが発生する可能性がある。

2.モバイル用途目的のノートPCが数多く存在することに起因する問題

　ノートPCの普及により、端末を社外に持ち出して利用するユーザーが増えている。これは、いつでもどこでも好きなタイミングで仕事ができるという意味で便利ではあるが、前述のように、ノートPCがワームの感染元となりイントラネットにワームを広めてしまう場合があるため、特に注意が必要だ。