第1回 パッチマネジメントの必要性：効率的なパッチ適用、管理の実現に向けて（2/2 ページ）

[磯 貴浩（ラック），ITmedia]

　このような事態を防ぐために、イントラネットに接続する前にセキュリティパッチの適用状況を確認を行い、イントラネットのポリシーで定められた必要なセキュリティパッチが適用されていない場合は接続を許可させない「検疫ネットワーク」といったソリューションもある。

図2■検疫ネットワークの仕組み

3.セキュリティパッチの適用によって社内の業務システムなどに問題が発生し、日常業務に支障をきたす恐れがある

　パッチマネジメントの観点から言えば、最新のセキュリティパッチを適用することが大前提である。しかし最新のセキュリティパッチを適用することによって、業務に使用しているアプリケーションが動作しなくなったりすることがある。これはセキュリティパッチの不具合、または業務で使用しているアプリケーションとの相性問題が起因して発生する問題だ。もしこのような事態が発生した場合、業務がストップするなど一大事になる可能性もある。

パッチ名称	不具合の内容
MS04-011	Windows 2000がインストールされたPCに適用すると起動時に応答が停止しているように見える、Windowsにログオンできない、CPU使用率が100％になる、という現象が発生することがある。特定のプリンタドライバがインストールできない
MS03-048	エクスプローラやマイコンピュータに表示される「デスクトップ」「マイドキュメント」などのリンクが機能しなくなる。Internet Explorerのスクロール操作に不具合が発生する
MS03-032	WindowsXP上で、.Net Framework1.0で開発したASP.NET Webアプリケーションが正常に動作しなくなる

セキュリティパッチの不具合例

　そのような状況に陥らないため、ユーザーにセキュリティパッチ適用を通知する前に、セキュリティパッチ自体の動作確認や、セキュリティパッチ適用後、普段業務で使用しているアプリケーションの動作確認を入念に行う必要がある。また、適用によって不具合が発生するセキュリティパッチは、改良版が提供されるまで適用しないようユーザーに指示する必要がある。

　中には、アプリケーションの移行が困難なため、古いアプリケーションをそのまま使用し続けている場合や、Windows NT 4.0などの古いOSを利用し続けている場合もあるだろう。古いOSやアプリケーションの場合、古いがゆえにウイルスやワームの被害を受けないケースもあるが、セキュリティパッチが迅速にリリースされない、あるいはサポート対象外としてパッチのリリースそのものが打ち切られることは十分考えられる。費用面などの問題もあり悩ましいところだか、セキュリティの観点から言えば、ベンダーのサポート期間が切れる前にOS／アプリケーションの更新を考えた方が望ましい。

4.仮想PCソフト／デュアルブート環境

　ソフトウェア開発や検証作業などのために、VMWareやVirtualPCを使用して開発・検証を行っている企業も少なくないだろう。このような常に起動していないOSの場合、うっかりセキュリティパッチの適用を忘れてしまいがちなので注意が必要である。

5.社内にあるPCが把握できていない

　社内に何台、どんな構成のPCがあるか、正確に把握できていない企業は多いのではないだろうか。また、社員が勝手に個人のノートPCやPDAなどのネットワーク機器を持ち込んで、イントラネットに接続するケースも多いと思われる。このようなネットワーク管理者が把握できないPCがウイルスの温床となり、イントラネットにウイルスを広める可能性は高い。そうした事態を防ぐため、現在社内にあるPCの管理を行うとともに、セキュリティポリシーの中で社内への勝手なネットワーク機器の持込みを禁止することは重要である。

　このように、運用していく上ではさまざまな問題点があるのだが、前述のとおりパッチマネジメントはネットワーク管理者にとって避けては通れない作業のひとつ。それぞれの環境にとってベストな方法で行っていかなければならない。

　なお、LinuxやSolaris、Macintoshでも同様にセキュリティホールが存在し、各ベンダーより適宜、セキュリティパッチがリリースされている。しかしこの記事では、一般的にイントラネットで使用されるOSとしてはWindowsが圧倒的多数であること、またウイルスのターゲットとしても支配的であることを考慮し、Windows環境を前提に話を進める。

　さて次回は、マイクロソフトより無償で提供されているツールを使用して行うパッチマネジメント手法について紹介する。