マイクロソフト
セキュリティ レスポンス マネージャ
小野寺 匠

 システム管理の観点からは,パソコン(PC)単体ではなく,PC群としてとらえ,セキュリティの問題と向き合っていく必要がある。今回は,パッチ(セキュリティ更新プログラム)管理を例に,成熟度の低い状態と高い状態での違いを見てみよう。具体的には,(1)通達型のパッチ管理,(2)自動的なパッチ管理,(3)群管理されたパッチ管理,(4)群管理された自動的なパッチ管理――の4タイプである。

通達型のパッチ管理

 パッチ管理の一番基本的な方法が,この通達型である。全社,全従業員に「パッチを適用してください」という通達を出し,Microsoft Updateへの誘導を図るもので,どちらかというとITをほとんど活用していない管理方法である。適用の確認は,各部門のパッチ確認担当者や役職者が1台ずつ目視で確認するなどの方法をとる(図1)。

図1●通達型のパッチ管理
[画像のクリックで拡大表示]

 この方法は,ごく小規模な場合を除いてオススメできない。PCの台数が1~3台,多くても5台程度なら最も効率的な方法かもしれない。ただ,PCが1000台を超え,1万~数万台にも上る場合に採用する方法ではない。

 この方法の問題点としては,以下が挙げられる。

  • システム管理者またはセキュリティ対応責任者がパッチの展開を決定してから,実施を完了するまでの時間が読めない
  • 実施の確実性がなく,報告の信頼性は従業員のモラルに依存する
  • 報告はその時点のものであり,その後の変化をとらえられない
  • 極めて単純な指示しか通達できない
  • 従業員,部門担当者が通達や確認のために多くの時間を割く必要があり,業務の非効率化を招くうえ,システム部門への不満が募りやすい

自動的なパッチ管理

 これに対して,自動的なパッチ管理なら従業員への負担の大きさや実施の確実性の問題を改善できる。自動更新に適用のタイミングと実施を完全に委ねる方法である(図2)。これなら,ある程度の台数までは効率的にパッチ管理ができる。ただ,問題点もある。

図2●自動的なパッチ管理
[画像のクリックで拡大表示]

  • 実施の確実性はある程度確保されるが,確認するすべがない
  • システム管理者またはセキュリティ対応責任者がパッチの展開を決定してから,実施を完了するまでの時間が読めない
  • システム管理者が望まない更新プログラムも配信される可能性がある
  • 従業員,部門担当者の作業が自動更新により中断される可能性がある

 通達型に比べるとITを活用しているように見えるが,全自動にして負荷を減らす代わりに管理性を放棄していることにほかならず,ITに使われていると言えなくもない。この方法を採用している企業から,「自動更新による配信の前に連絡がほしい」といった声を聞く。もっともな要望ではあるが,広く個人も含めた利用者向けのサービスで各企業の個別の事情に配慮する事は難しい。

 通達型と自動更新型の共通の問題は,どちらもPCを個別のものとして扱う点にある。そこで,グループ(群)全体での適用状況を把握する「群管理」の考え方が重要になる。システム管理者の決定を,個々のPCではなく,複数のPCに対して一律に伝達する仕組みを設ければ,効率的かつ確実にパッチを展開できる。