第6回 パッチ管理システムの今後：効率的なパッチ適用、管理の実現に向けて（2/2 ページ）

[磯 貴浩（ラック），ITmedia]

　まず、イントラネットに接続しようとするPCは、いったんイントラネットとは別のネットワーク（検疫ネットワーク）に隔離し、イントラネットで求められるポリシーに適合しているかを検査する。検査の方法としては、あらかじめPCにインストールされた常駐型プログラム（エージェント）を使用して検査する方法と、検疫サーバにブラウザなどでアクセスし、ActiveXなど非常駐型のプログラムで検査する方法がある。

　検査結果がイントラネットのポリシーに適合していないPC、たとえば「ウイルス対策ソフトがインストールされていない」「ウイルス対策ソフトのウイルス定義ファイルが古い」「セキュリティパッチを適用していない」PCは、そのままではイントラネットに接続することはできない。パッチ適用など、イントラネットのポリシーに適合するように対策を済ませた後に、イントラネットに接続させる。

　このような仕組みによって、たとえ社員が勝手にノートPCなどを持ち込んだとしても、イントラネットに接続されたPCならば必ずポリシーに適合したPCということになり、セキュリティが保たれる。

　イントラネットに接続しようとするPCをいったん隔離する方法には数通りかある。中でも代表的なものが「認証スイッチ方式」と「DHCP方式」だ。

●認証スイッチ方式

　認証スイッチ（VLAN認証スイッチ）はその名のとおり、ユーザーを認証し、識別したうえで、あらかじめ割り当てられているネットワークにユーザーを接続させる機能を持っている。この機能を応用し、接続されたPCをまずセキュリティチェックを行うための検疫ネットワークに接続させ、イントラネットのポリシーに適合しているかどうかを検査する。適合していれば認証サーバでそのPCのイントラネットへの接続を許可し、イントラネットに接続させる。

図2●認証スイッチ方式の仕組み

●DHCP方式

　DHCPとは、ネットワークに接続されたクライアントに対して、動的にIPアドレスやサブネットマスク、ゲートウェイなどの情報を割り当てるプロトコルだ。このプロトコルを用いて、接続されたPCにいったんセキュリティチェックを行う検疫ネットワーク用のIPアドレスを割り当て、イントラネットのポリシーに適合しているかどうかチェックする。適合していることが確認できれば、今度はイントラネットのIPアドレスが割り振られ、イントラネットへの接続が可能になる。

　ただこの方式の場合、PCにイントラネットのアドレスを静的に割り当ててイントラネットに接続した場合、セキュリティチェックを行わずともイントラネットに接続できてしまうという問題がある。

図3●DHCP方式の仕組み

　現在のイントラネットに検疫システムを導入する際、方式によっては、ネットワークデザインの変更やネットワーク機器の新規購入、エージェントソフトの導入などが必要となる場合がある。商用パッチマネジメント製品の導入に比べ、決して導入の敷居が低いわけではない。

　しかし検疫システムの導入によって、ネットワーク管理者が手間を掛けることなく、イントラネットに接続するPCは例外なく、すべて一定のセキュリティ基準を満たしたPCとすることができる。管理者にとっては非常に喜ばしい、一種の「理想」の世界だろう。

パッチマネジメントの費用対効果は？

　といっても、検疫システムの導入において、今最も大きなネックになっているのがコストである。そこで問題になるのが、パッチ管理／検疫システムの導入によってどれだけコストを削減できるか、どれだけの費用対効果が得られるか、という点だ。

　しかし、パッチマネジメントに限らずセキュリティ対策の費用対効果を算出することは非常に難しい。だが仮に、セキュリティパッチを当てていなかったがためにOSの脆弱性を突かれ、ウイルスに感染し、コンピュータ内の顧客情報などの重要ファイルを不特定多数の人にばら撒かれた――などといったケースを想定すると、莫大な損害が及ぶ可能性があることは容易に分かる。昨今話題の個人情報保護という観点から見ても、セキュリティパッチマネジメントは必須の事柄だ。

• 謝罪広告/クレーム受付窓口の設置費用
• 漏洩した情報を回収するための費用
• 漏洩した情報に対する損害賠償費用
• 信用の失態・信頼回復のための費用

個人情報漏洩の際に想定される費用

　こういった「損害」「逸失利益」といった考え方以外にも、パッチマネジメントの費用対効果を考える方法はある。ユーザーが自主的にセキュリティパッチを適用していた、あるいはネットワーク管理者が手作業で1台1台にセキュリティパッチを適用するという形で運用を行っていた場合と、SUSや市販のセキュリティパッチ管理ソフトを使用して自動化した場合を考えてみよう。

　ここではごく単純な例だが、仮に、300人ほどの社員に1台ずつPCが割り当てられながら、セキュリティパッチの適用が自動化されていない企業を考えてみる。この場合、社員1人が1台のPCにセキュリティパッチの適用を行う、またはネットワーク管理者が1台のPCにセキュリティパッチの適用を行うために、毎月10分の時間をかけていたとする。これが300人分というわけだから、必要な時間は約50時間。一日の作業時間を7.5時間とすると、約7日間の作業が毎月必要になってしまうことになる。

　これに対し、SUSや市販のセキュリティパッチ管理ソフトを使用して自動化した場合、パッチ適用に関わる時間は大幅に削減されるはずである。企業内のPCが多ければ多いほど、パッチマネジメントツールを使用して適用を自動化することによって削減される作業は大きいはずだ。

　以上、これまでセキュリティパッチマネジメントをテーマに、さまざまな角度から説明してきた。今回で最後になるが、この連載が、企業のネットワーク管理者の方々にとって効率的にセキュリティパッチを行う手助けになるよう願う。