第3回 パッチマネジメントの「ライフサイクル」を考える：特集：効率的なパッチ適用、管理の実現に向けて（2/2 ページ）

[磯 貴浩（ラック），ITmedia]

　このようなサービスを使用すると、非常に効率よくパッチ情報を収集することができる（図2）。

図2●パッチ情報を一元的に収集することで、配布／管理を効率的に行える

　こうやって入手したセキュリティパッチの情報と、段階1でまとめた既存のPC資産の情報を元に、社内のPCへセキュリティパッチの適用の必要性や緊急度などを検討する必要がある。

段階3：配布計画の立案

　いざパッチがリリースされたとしても、ユーザーに対して、セキュリティパッチのリリースをアナウンスする前に、検証用の環境で、セキュリティパッチのインストールが正常に完了するか確認を行う。また、セキュリティパッチ適用後、業務で使用されているソフトウェアが正常に動作するか確認する必要がある。セキュリティパッチの適用により動作に障害が発生する場合は、ベンダーより回避策が提示されるまで適用を待つ必要がある。

　また、検証環境では問題が発生しなくても、万一ユーザーのPC環境で障害が発生した場合に備えて、セキュリティパッチのアンインストール方法など、PCをセキュリティパッチ適用前の状態に戻す手順を確認する必要がある。

　社内環境に、複数のOSやバージョンが異なるソフトウェアをインストールしたPCがあった場合、そのすべての環境で動作確認をすることになる。これは非常に手間の掛かる作業だ。よって、社内のPC環境をできるだけ統一しておくことも、セキュリティパッチマネジメントの作業を削減するためには重要である。

　動作確認後、セキュリティパッチを適用するスケジュールを決定する。この際、イントラネット内のクライアントPCの台数が多い大規模な環境の場合、ネットワークの負荷を考え、いくつかのグループに分けてパッチを適用するなど、配布方法を考慮する必要がある。また、再起動をともなうセキュリティパッチを、業務上停止できないサーバに適用する場合は、曜日や適用時間帯を考慮する必要がある。

　最近のウイルス／ワームは、脆弱性やセキュリティパッチが公開されてから発生までの期間が非常に短くなってきている。セキュリティパッチが公開された後、短期間でPCに適用できるように考慮して計画を立てなければならない。

段階4：パッチ適用の通知と適用

　ユーザーに対してメールやグループウェアなどを利用して、セキュリティパッチの適用／通知を行う。ユーザー自身がセキュリティパッチを適用する場合は、セキュリティパッチの適用方法も同時に通知する必要がある。

　セキュリティパッチの適用方法としては、ユーザー自身がWindows Updateを使用してセキュリティパッチを適用する方法のほか、SUS、前述したクオリティのQNDや、ハンモックのAssetView、LANDesk Management Suiteなど、PC資産管理ソフトウェアのアプリケーション配布機能を利用する方法がある。また、ソフトウェアアップデート管理ツールである、アップデートテクノロジの「UpdateEXPERT」やShavlikの「HFNetChk Pro」を使用することでもパッチ配布を自動化することができる（表3）。

表3■ソフトウェアアップデート管理ツール

製品名 ベンダー Software Update Services（無償） マイクロソフト UpdateEXPERT St. Bernard Software／アップデートテクノロジー HFNetChkPro Shavlik Technologies／ネットワールド PATCHLINK UPDATE PatchLink

　第2回の記事で触れたとおり、SUSが対応しているのはWindowsXP Home Edition、WindowsXP Proffesional、Windows 2000 Server／Professional、Windows2003 Serverのみだ。だが現実には、サポート期限が切れているとはいえ、Windows95／98やWindows NT 4.0がまだまだ現役として使用されている企業も多いと思われる。したがって、SUSの未対応のOSが使用されている環境で、これらのOSに対応している市販のパッチマネジメントソフトウェアを導入するのは有効な手段である。

　また、ユーザーがセキュリティパッチを適用する場合、管理者権限の問題に突き当たるが、商用ソフトウェアの中には、管理者権限を代行してセキュリティパッチの適用を可能にする仕組みもある。管理者権限のパスワードをユーザーに教えることなく、セキュリティパッチの適用をユーザーに代行させることができるわけだ。

段階5：適用状況の調査

　ユーザーに対してセキュリティパッチの適用を通知後、正しくPCにセキュリティパッチが適用されているかどうか確認する。

　正しくセキュリティホールが改修されたかどうかを確認するには、ユーザー自身が、バージョン情報などを見て確認することができる。また、前回紹介したマイクロソフトのMBSAのようにセキュリティホールの有無を調査できるソフトウェアを使用することで、効果的に適用状況を確認することができる。ここで適用漏れがあった場合は、ユーザーに再度適用を促す必要がある。

画面2●セキュリティホール検査ツールの一例として、ラックの「SNS Inspector」の画面を紹介する。PCごとのセキュリティパッチの適用状況が表示される

　セキュリティパッチマネジメントは、イントラネット内のセキュリティ対策を考える上で重要な項目の一つであり、継続的に行っていく必要がある。だが一方で、PC1台1台について対策を行っていかなければならず、管理者が対策を行うとなると非常に手間がかかり、労力や時間の面で限界が生じるのも事実だ。かといって対策をユーザー任せにしても、パッチの適用漏れが避けられないといった問題がある。

　これらの問題をある程度解決するために、今回紹介したツールを使用して運用サイクルの各段階を自動化することは、管理者にとっても、またユーザーのセキュリティ向上という意味でも有効だろう。