企業内では多種多様なOSやアプリケーションの組み合わせが稼動している。その中でパッチ管理を漏れなく、確実に、しかも効率的に進めていくには、そのライフサイクルに対する考慮が不可欠だ。
前回は、マイクロソフトより無償で提供されているSUS(Software Update Services)やMBSAといったツールを使用したセキュリティパッチマネジメントについて紹介した。それを踏まえて今回は、パッチマネージメントの運用サイクルについて考えてみたい。合わせて、各運用段階において管理者の作業を軽減してくれるパッチマネジメントツールを紹介する。
イントラネットに接続されているPCが数台ならば人手で管理することができるが、数百台、数千台といった大規模になってくると、その場しのぎのパッチマネジメントは困難である。大事なことは、セキュリティパッチを適用する際の運用手順を決め、各段階で確実に運用を継続していくことだ。
セキュリティの維持においてポリシーの策定から実装、見直しと改善といったライフサイクルが重要であるのと同じように、パッチマネジメントにも運用サイクルがある。具体的には、以下の手順で実行するのが理想的だ(図1)。
1.既存PCの資産調査
2.セキュリティパッチ情報の入手
3.セキュリティパッチ配布計画
4.セキュリティパッチ適用の通知/適用
5.セキュリティパッチ適用状況の調査
以下、各ステップごとに順を追って説明していこう。
どの部署に何台のPCがあり、どんなソフトウェアがインストールされているか――既存のPC資産を把握しておくことは、パッチマネジメントのみならず、イントラネットのセキュリティ管理においても重要なポイントである。
パッチマネジメントを有効に行うためには、イントラネット内で以下の情報を把握しておく必要がある。
管理対象のPCが多数ある場合、または離れた場所に拠点が点在する場合、PCのOS情報をはじめ、前述したインベントリ情報を調べるのは面倒な作業だ。PC1台1台を手動で調査するのは、人手や時間が非常にかかり現実的には困難である。いったん調査を終えた拠点で状況が変われば、また調査を行わなくてはならない。
市場には、こうしたインベントリ情報の収集、管理に特化した製品が存在する。一例としてクオリティの「QND」やハンモックの「AssetView」、LANDesk Softwareの「LANDesk Management Suite」などのPC資産管理ソフトウェアなどがある(表1)。こうしたツールを利用すれば、インベントリ情報を効率的に収集することができる。人手で行う場合の作業やコストを考えると非常に有効だ。
表1■資産管理ツール。資産管理台帳としての利用にとどまらず、パッチ配布/管理機能を備えるものまで登場している
|
この段階では、セキュリティホールの内容、セキュリティパッチの適用手順などの情報を入手する。マイクロソフト製品であれば、基本的に第二水曜日にセキュリティパッチがリリースされるため、情報収集の作業をスケジュール化することができる。
マイクロソフト製品以外の情報の入手方法としては、セキュリティ関連メーリングリストを購読したり、各ソフトウェアベンダーのサイトに1つひとつアクセスし、情報を入手する方法がある。だがどうもこれでは非効率的だ。そういった部分を補う手段として、セキュリティベンダーが提供しているセキュリティ情報サービスがある(画面1)。こうしたサービスの中には、使用しているOS、ソフトウェアの情報のみをクリッピングする機能がある(表2)。
表2■セキュリティ情報サービス
|
Copyright © ITmedia, Inc. All Rights Reserved.