第5回：展開時に残るこんな問題：特集：効率的なパッチ適用、管理の実現に向けて（1/2 ページ）

これまでの記事で、パッチの検証と配布を含む一連のサイクルの重要性が理解できたと思うが、実際に現場で作業を進める上では、ちょっとしたつまずきが生じることもある。今回はそれらへの対処策を紹介したい。

[磯 貴浩（ラック），ITmedia]

　前回は、セキュリティパッチ配布計画の立案段階で問題となる点と、パッチ本体の不具合、業務アプリケーションとの相性問題について説明した。今回は、ユーザーに対してのセキュリティパッチ適用の通知と、適用の段階での問題点を説明したい。

適用・展開段階での問題点

●OSインストール直後のPCの扱い

　OSをインストールした直後のPCは、セキュリティパッチが何も当たっていない極めて無防備な状態になっている。この状態のままイントラネットに接続するのは危険だ。もしイントラネット内に、脆弱性を悪用して広まるワームに感染しているPCがあれば、たちまち感染してしまう。これはBlasterなどの蔓延時にも見られたケースだ。

　このような感染を防ぐためには、イントラネットに接続する前にまず、PCのセキュリティ対策を行う必要がある。

　たとえばPCをイントラネットに接続する際には、パーソナルファイアーウォールソフト（Windows XPならばインターネットファイアウォール機能でもよい）を使用し、前もって外部から攻撃を受けないように設定しておく。その上でイントラネットに接続し、セキュリティパッチの適用を行えばいい。

　または、管理者があらかじめサービスパックやセキュリティパッチをダウンロードしたメディア（CD-Rなど）を用意しておく。そして、ネットワークに接続しない状態でOSをインストールした後、用意のメディアを使用してサービスパックやセキュリティパッチをインストールするのが一般的である。

●適用後の再起動回数を減らす

　セキュリティパッチの中には、適用後にOSの再起動を求められるものがあるが、種類によっては、適用の際のオプション設定で再起動を回避できるものもある。

　再起動が必要なセキュリティパッチを一度に複数適用する場合、このオプションを使用するのも一つの手だ。セキュリティパッチを適用するたびに再起動する必要はなくなり、すべてのパッチを一度に適用した後に一度再起動を行うだけで済む。

　ただしこの際、対象となるパッチはOSを再起動した後にはじめて「適用された」ことになる。逆に言えば、再起動するまではセキュリティホールが存在する状態のままということであり、注意が必要である。

●パッチ展開時の問題点

　前回説明したようにセキュリティパッチの検証作業が終われば、次の段階として、ユーザーに対しセキュリティパッチを適用するよう通知することになる。

　第2回および第3回で紹介したPC資産管理ソフトウェアのアプリケーション配布機能や、ソフトウェアアップデート管理ツールを使用している場合は、管理者の設定に従って自動的にセキュリティパッチが配布、適用されることとなる。この場合、ユーザーがパッチの適用に関して特に意識することはないかもしれない。

　逆に、セキュリティパッチの適用をユーザー任せにしている場合は、メールや社内システム（グループウェア）の掲示板、あるいは文書などを通じて、セキュリティパッチのリリースを知らせ、適用を促すことになる。しかし、告知したからといってユーザーが即座にセキュリティパッチを適用するとは限らないので注意する必要がある。この点については後ほど詳しく説明しよう。

オンライン、オフラインなどさまざまな手段を通じて告知を行う

●マルチブート／仮想OSの問題点

　1台のPCに複数のOSをインストールして使用するマルチブート環境や、「Virtual PC」「VMWare」などを使った仮想OS環境を使用している場合にも注意が必要だ。こうした環境では、普段は起動していないOSがあるため、マイクロソフトのMicrosoft Baseline Security Analyzer（MBSA）などを用いたとしても、監視が行き届かない。つまり、マルチブート環境で起動していないOSやVMWare上の仮想OSについてまでセキュリティパッチがきちんと適用されているかどうかを管理者が把握することは難しい。

　これも第3回で紹介したセキュリティパッチマネジメント製品でカバーできる場合もある。だがおおむね、セキュリティパッチの適用はユーザー任せになっているのが実情ではないだろうか。

「ユーザー任せのパッチ管理」はなぜまずい？

　上記のような問題を解消するためには、ユーザーに対し、適用すべきセキュリティパッチの種類と方法などを確実に通知する必要がある。システムのポリシーとして、「セキュリティパッチの適用はユーザーに任せる」と定めている場合はなおさらだ。

　なお、セキュリティパッチ適用後、業務で使用しているアプリケーションが正常に動作しないといった問題が発生する場合があるのは、前回説明したとおりだ。そうした場合に備え、パッチの情報だけでなく復旧方法も併せて通知することも必要である。

　通知方法としては、メールで送付したり、グループウェアなどで必要な情報を公開し、ユーザーに見てもらうという方法が一般的だ。しかしこの方法だと、ユーザーが実際に情報を見たかどうか、あるいはセキュリティパッチを本当に適用したかどうかを把握できない。この場合、セキュリティパッチ適用作業が完了した後、ユーザーがその事実を管理者に報告させるなどして、パッチの適用を徹底させることが必要である。

画面1●グループウェアの画面でセキュリティパッチの適用を促す

　しかし、ユーザーのセキュリティ意識が低い場合には、セキュリティパッチの適用を任せてもその重要さが理解されず、即座にパッチを適用してくれなかったり、悪くすると適用されずそのままセキュリティホールが放置される可能性がある。これは、パッチ管理うんぬんというよりも、組織のセキュリティを維持する上で、より根本的な問題だ。

ユーザーのセキュリティ意識を高めるには

　ユーザーのセキュリティに対する意識を高めることは、セキュリティパッチの適用を任せる場合の必須事項であるだけでなく、昨今話題になっている個人情報漏洩などのセキュリティ事件を防止する上でも非常に重要である。

　セキュリティ意識を高めるには、まず情報セキュリティポリシーを作成し、全社的に運用することが効果的である。だが一方で、せっかく情報セキュリティポリシーを策定したにもかかわらず、末端のユーザーまでいきわたっていなかったり、実効性ある形で運用できていない企業のほうが多いのではないだろうか。

　こうした状況を改善する方法の1つを紹介してみたい。