緊急パッチを適用していないシステムは,危険なセキュリティ・ホールを放置していることになる。そのためパッチ適用は時間との戦いとなる。作業が深夜まで続くことも少なくない。

 運用担当の技術者による,パッチ適用作業の手順書の作成も終わり,後は,唯一動かなかったバッチ処理の検証作業を残すのみとなった。既に日付も変わり,担当者の意識ももうろうとしてきたころ,Windows系の開発者の集う,とある英語のWebサイトで同様と思われる不具合の情報に巡り合った。

 パッチを適用すると,ある「特定の処理」を実行する際のwindowsのユーザー権限が厳しくなってしまうというものだった。確認してみると,動かなかったバッチ処理にはこの「特定の処理」が含まれており,ほかのバッチ処理には含まれていない。このバッチだけが動かなかった理由は,どうやらこれのようである。

 そのサイトによると,この問題を解決するためには,バッチの実行権限およびバッチが参照するファイル,フォルダなどの権限を設定し直す必要があるとのことだった。この情報は,Microsoftが提供するサイトには掲載されていなかったが,まずは検証環境で試してみることにした。

 「動いた!」

 ようやく,チェックリストの検証項目がすべてクリアされた。当然ながら,パッチ適用の手順書には,このバッチ処理に対する権限設定の変更に関する作業が新たに付け加えられる。

 休む間もなく,実際にサーバーにパッチを適用する作業が待っている。手順書に従って,サーバー1台1台にパッチを適用していく。もちろん,適用後の動作チェックも忘れない。基本的には,検証環境で実施した検証項目をもう一度行うことになるが,サービスへの影響があるなど,本番では実施できない項目もあるため,そのような場合には,代替の検証項目を用意しておく。

 こうして,すべてのサーバーのパッチ適用と,動作検証が完了し,ふと窓の外に目をやると,既に東の空が明るくなりつつあるのだった。

パッチ適用を肩代わりしてくれる製品もある

 パッチの適用作業は,大変面倒な作業である。システムを運用する立場の本心としては,これまで安定して動いてきたシステムに対して,何か変更作業を行うということはやりたくないものだ。

 こんな悩みを解消してくれる方法の一つが,いわゆる「仮想パッチ」と呼ばれる機能を持った製品群である。メーカーによって呼び名は様々だが,米Blue Lane Technologiesの「PatchPoint」や,米IBMの「IBM Internet Security Systems」が持つバーチャルパッチ機能が相当する。

 これらの製品は,仮想パッチを適用したいサーバー群とインターネットとの間に設置され,サーバーに向かうトラフィックを常に監視している。トラフィック中に,発表済みのパッチによって対策されたぜい弱性を狙った攻撃のパターンを検出した場合に,その攻撃をブロックすることで,サーバーにパッチを適用した状態と同等の効果を期待するというのが基本的な動作原理である(図3)。

図3●仮想パッチの動作概要図
図3●仮想パッチの動作概要図

 新たなぜい弱性に対応したパッチが発表されると,仮想パッチ製品のベンダーは,そのパッチに対応した新たなパターンを仮想パッチ製品に送り込み,常に最新のパッチが適用された状態になる。ただし,あくまで仮想パッチなので,サーバーそのものにはぜい弱性が残っていることを忘れてはいけない。