第3回 パッチマネジメントの「ライフサイクル」を考える特集:効率的なパッチ適用、管理の実現に向けて(1/2 ページ)

企業内では多種多様なOSやアプリケーションの組み合わせが稼動している。その中でパッチ管理を漏れなく、確実に、しかも効率的に進めていくには、そのライフサイクルに対する考慮が不可欠だ。

» 2004年08月10日 10時02分 公開
[磯 貴浩(ラック),ITmedia]

 前回は、マイクロソフトより無償で提供されているSUS(Software Update Services)やMBSAといったツールを使用したセキュリティパッチマネジメントについて紹介した。それを踏まえて今回は、パッチマネージメントの運用サイクルについて考えてみたい。合わせて、各運用段階において管理者の作業を軽減してくれるパッチマネジメントツールを紹介する。

パッチマネジメントの運用サイクル

 イントラネットに接続されているPCが数台ならば人手で管理することができるが、数百台、数千台といった大規模になってくると、その場しのぎのパッチマネジメントは困難である。大事なことは、セキュリティパッチを適用する際の運用手順を決め、各段階で確実に運用を継続していくことだ。

 セキュリティの維持においてポリシーの策定から実装、見直しと改善といったライフサイクルが重要であるのと同じように、パッチマネジメントにも運用サイクルがある。具体的には、以下の手順で実行するのが理想的だ(図1)。

1.既存PCの資産調査

2.セキュリティパッチ情報の入手

3.セキュリティパッチ配布計画

4.セキュリティパッチ適用の通知/適用

5.セキュリティパッチ適用状況の調査

図1 図1●パッチマネージメントの運用サイクル

以下、各ステップごとに順を追って説明していこう。

段階1:既存PCの資産調査

 どの部署に何台のPCがあり、どんなソフトウェアがインストールされているか――既存のPC資産を把握しておくことは、パッチマネジメントのみならず、イントラネットのセキュリティ管理においても重要なポイントである。

 パッチマネジメントを有効に行うためには、イントラネット内で以下の情報を把握しておく必要がある。

  • イントラネットに接続されているPCの台数、ハードウェアの種類
  • ハードウェアの設置場所
  • OSの種類、バージョン情報
  • そのPCの役割(サーバ用途か、クライアント用途なのか)
  • 稼動しているWindowsサービス
  • インストールされているソフトウェアの種類、バージョン管理
  • PCの使用者(管理者)

 管理対象のPCが多数ある場合、または離れた場所に拠点が点在する場合、PCのOS情報をはじめ、前述したインベントリ情報を調べるのは面倒な作業だ。PC1台1台を手動で調査するのは、人手や時間が非常にかかり現実的には困難である。いったん調査を終えた拠点で状況が変われば、また調査を行わなくてはならない。

 市場には、こうしたインベントリ情報の収集、管理に特化した製品が存在する。一例としてクオリティの「QND」やハンモックの「AssetView」、LANDesk Softwareの「LANDesk Management Suite」などのPC資産管理ソフトウェアなどがある(表1)。こうしたツールを利用すれば、インベントリ情報を効率的に収集することができる。人手で行う場合の作業やコストを考えると非常に有効だ。

表1■資産管理ツール。資産管理台帳としての利用にとどまらず、パッチ配布/管理機能を備えるものまで登場している
製品名 ベンダー
AssetView HYPER ハンモック
CapsSuite NEC
LANDesk Management Suite LANDesk Software
LanScope CAT3 エムオーテックス
QND クオリティ
Systemwalker Desktop Patrol 富士通
ZENworks for Desktops ノベル

段階2:セキュリティパッチ情報の入手

 この段階では、セキュリティホールの内容、セキュリティパッチの適用手順などの情報を入手する。マイクロソフト製品であれば、基本的に第二水曜日にセキュリティパッチがリリースされるため、情報収集の作業をスケジュール化することができる。

 マイクロソフト製品以外の情報の入手方法としては、セキュリティ関連メーリングリストを購読したり、各ソフトウェアベンダーのサイトに1つひとつアクセスし、情報を入手する方法がある。だがどうもこれでは非効率的だ。そういった部分を補う手段として、セキュリティベンダーが提供しているセキュリティ情報サービスがある(画面1)。こうしたサービスの中には、使用しているOS、ソフトウェアの情報のみをクリッピングする機能がある(表2)。

画面1 画面1●セキュリティ情報サービス「SNSDB」の画面。プラットフォームごと、緊急度ごとに分類された脆弱性情報を入手できる。他の情報サービスも同様だ
表2■セキュリティ情報サービス
サービス名 提供元
SNSDB ラック
SIDfm ソフテック
CyberNotice サイバーディフェンス
Microsoftパッチ情報提供サービス 大塚商会

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ