今回も脆弱性を適切に修正する「パッチマネジメント」を解説する。パッチマネジメントは有事に重要だが、平時は地味な作業の積み重ねで、管理者から作業者までのセキュリティ意識が管理品質に直結する。何をどう管理するかを合意し、確認体制を整えて形骸化を防ごう。
前回に続き、企業や団体がパッチファイルを適切な頻度や手順で修正するために実施する「パッチマネジメント」を解説します。前回はパッチマネジメントを実施する上での基本的な概念やポイントを紹介しました。今回はパッチマネジメントを安定運用するための課題と解決策を解説します。
筆者は経験上、多くの組織に共通する課題が四つあると見ています。「組織が保有・運用するインフラの全数把握と整理が難しい」「対象機器の性質や特性によって、求められる対応基準やルールが異なる」「開発現場によって関係者や管理方法が異なる」「運用が形骸化しやすい」――というものです。以下でそれぞれ説明します。
第一歩である「現状把握」が難しい
パッチマネジメント実施の第一歩は、組織が運用するシステムの全数を把握・整理することです。しかし実際は難しい、というのが最初の課題です。
脆弱性が判明した際に、影響を受ける製品はどのシステムにいくつあるのかが分からなければ、脆弱性対応はできません。どの部署で何の機器を何台保有しているのかをまとめた、「IT資産情報台帳」といった保有機器の一覧表が欠かせません。しかし、一覧表の仕様が組織で統一されていなかったり収集手順がルール化されていなかったりするのが普通です。
システム全数の把握と整理は、セキュリティの「見えないリスク」を無くす目的もあります。どこかに管理できていない製品があると、組織のセキュリティレベルは下がります。管理されていない機器を持っている部署は、ポリシー違反をしている可能性もあり、セキュリティ意識が低いかもしれません。「パッチマネジメントというセキュリティは組織全体で取り組む必要がある」という意識改革も共に進めていく必要があるでしょう。
次に問題となりやすいのが「対象機器の性質や特性によって、求められる対応基準やルールが異なる」ことです。分かりやすい例では、PCのパッチマネジメントとサーバーのそれとは全く異なります。PCは多少の故障や不具合が発生してもすぐに交換可能で、リカバリーも比較的簡単です。
