相次ぐワーム被害を背景に、企業システムにはパッチの迅速な適用が求められるようになった。といってもパッチ配布、管理は、管理者にとって負担の大きな作業だ。この作業を支援し、TCO削減を実現してくれるのが「LANDesk Management Suite」と「LANDesk Patch Manager」である。
昨年夏に大きな被害を与えたBlasterワーム。すでにパッチが提供されていたはずのWindowsの脆弱性を狙ったこのワームの蔓延ぶりによって、パッチを適用しないまま利用されているクライアントPCがいかに多いかが白日の下にさらされた。
このインシデントを機に、企業としてパッチの適用、管理を組織的に、徹底して行おうとする動きが活発化している。脆弱性が発見されてから、悪用コードやそれを元にしたウイルス、ワームが登場するまでの時間がどんどん短くなっていることを踏まえると、企業システムをさまざまなセキュリティ上の脅威から守る上で、迅速なパッチの適用は欠くことのできない作業だ。
その上、Blasterの蔓延によって、必ずしもセキュリティを優先するとは限らないエンドユーザーにパッチ適用作業を任せてはいられないという事実も明らかになってきた。とはいうものの、管理者が端末一台一台を見て回り、必要に応じてパッチを適用する……などというやり方は、PCが「ビジネスツール」としてこれだけ幅広く利用されている以上、非現実的だ。リモートから一元的に、速やかにパッチを展開するためのツールは、システム運用上も、またセキュリティ管理上も必須のものとなっている。
■ 本当に必要なのは「ライフサイクル」にまたがる支援
こうしたニーズを受けて今では、数多くのベンダーが「パッチ配布支援システム」を提供するようになった。
だがその多くは、パッチが適用されているかどうかを確認し、当該アップデートを配布する、といった部分にのみ焦点を当てたもの。各種インベントリ情報の収集を通じた現状把握や、ベンダーやセキュリティコミュニティから得られる脆弱性/パッチ情報の収集、さらにはパッチ動作の検証も含めた、パッチ管理のライフサイクル全体をサポートしたものは非常に少ない。これでは、パッチ管理をめぐって頭を悩ませている管理者の問題は解消されない。
「お客さまが本当に困っているのは、公表されたパッチの情報をこまめにチェックし、脆弱性を確認し、パッチ適用前にきちんとテストを行うという部分。この部分については、時間と手間をかけて人手でやるしかない」(LANDesk Softwareのテクニカルセールスマネージャ、小池浩之氏)。
■パッチ管理のライフサイクル |
これに対し、LANDesk Softwareが提供する統合資産管理システム「LANDesk Management Suite」と、その拡張コンポーネントである「LANDesk Patch Manager」は、パッチ管理のライフサイクル全体をサポートするものだ(右図参照)。
「どのような脆弱性がどこに存在しており、それを解決するためのパッチはどれで、いったいどこから入手できるのかといった情報を提供できる」(小池氏)。その意味で、パッチ管理ソリューションというよりも、脆弱性管理ソリューションと表現するほうが適切かもしれない。
■ 柔軟できめ細かい運用を実現
LANDesk Management Suiteでは、ハードウェア/ソフトウェアのインベントリ情報を収集し、企業ITシステムがいまどういった状況にあるかを把握できるだけでなく、ネットワークに与える負荷を最小限に抑えながらさまざまなソフトウェアを配布する機能を備えている。これを活用し、Blasterが発生した直後に迅速に状況確認とパッチ配布を行い、被害を最小限に抑えた顧客もあったという。
LANDesk Management Suiteでは、他のパッチ管理システムには見られない、これまで洗練されてきたさまざまな機能が提供される。その1つの例が、大規模分散環境でのパッチ配布を効率的に行う「Targeted Multicast」や「Peer Download」といった機能だ。また、プッシュ/プル型両方での配布が可能なほか、環境やポリシーに合わせて「スキャン後すぐにパッチを配布、適用する」「脆弱性情報を確認しつつ、適用は完全な検証が終わるまで待つ」といった具合に、柔軟な運用を行える。
■LANDesk Patch Managerの操作画面 クリックで拡大 |
LANDesk Patch Managerは、このLANDesk Management Suiteの機能を補完、拡張し、パッチ管理をより効率的に行えるようにしてくれる。具体的には、ベンダーから提供される脆弱性やパッチに関する情報をLANDesk側で収集し、データベースとして一元的に管理する。このため、ユーザー自身が個別にベンダーのサイトを見て周り、情報収集を行う必要はない。
さらに、LANDesk側でパッチそのものはきちんと動作するか、相互依存性はどうなっているかといった基本的なテストを行い、情報をまとめることで、ユーザーにとって最も負担となっている検証作業を支援してくれる。また、インベントリスキャナとは別に、システム内に存在する脆弱性を洗い出す「脆弱性スキャナ」も提供され、どのグループ、どのプラットフォームにどのような脆弱性が存在するかを、一目瞭然の形で確認できる。
先日リリースされたばかりの新バージョン「LANDesk Patch Manager V8.1」では、さらに新たな機能が加わった。サポートOSやサポート言語が拡大したほか、ユーザー自身が脆弱性を定義できるようになっている。つまり、「自社開発の製品や独自アプリケーションについて、『このような設定は脆弱性に該当する』『このバージョン以前は脆弱性とする』といった具合に定義し、柔軟にチェックし、アップデートを行えるようになる」(小池氏)。
何よりの特徴は、1つのコンソールから、LANDesk Management SuiteやPatch Manager、その他のあらゆる機能を統合的に利用し、システム全体を統合的に把握できることだ。機能ごとにコンソールを使い分け、異なる操作体系を強いられるといったことはなく、TCOの削減にもつながる。これこそが、統合管理システムゆえのメリットだという。
「ほかのパッチ管理製品やシステム運用製品を導入する場合、結局は新規にハードウェアを購入する必要が生じたりして、全体としてのコストは高くつく。TCOを考えれば、LANDesk Management SuiteとPatch Managerはずいぶん安く済むはずだ」(小池氏)。システム管理の上でも、そしてパッチを適切に管理し、セキュリティ上の脅威に対抗していくという意味でも、管理者を支援してくれる力強いツールだと言えるだろう。
|
■ 関連リンク
LANDesk Software
資産管理とリモートコントロール、ソフトウェア配布といった機能を提供する企業向け統合管理ソフトウェア、「LANDesk Management Suite」を提供している
LANDesk Management SuiteおよびLANDesk Patch Managerについての詳しいお問い合わせ、資料のご請求につきましては、こちらまでお問い合わせください。
»
資料請求はこちら
■ 関連記事
「パッチ管理はIT管理の一部」とLANDesk
米LANDesk Softwareの社長兼CEO、ジョー・ワン氏は「セキュリティパッチ管理はIT管理の一環としてしかありえない」と強調する。
LANDesk、システム統合管理ソフトの最新版を発表
LANDesk Softwareは、システム統合管理ソフトの新版「LANDesk Management Suite v8.1」を発表した。
脆弱性管理までを支援、LANDeskがパッチ配布の支援モジュールを提供
LANDesk Softwareは、統合管理ソフトウェア「LANDesk Management Suite 8」の追加モジュールとして動作し、セキュリティパッチの配布作業を支援する「LANDesk Patch Manager 8」を発表した。