頻繁に報告されるセキュリティ・ホール。クライアントPCなら,すみやかにパッチを適用するべきだろう。ブロード・バンドの普及もあり,パッチ当て作業には5分もかからないことが多い。仕事のちょっとした合間に「Windows Update」を起動すればよい。また,たとえパッチを適用することでシステムが不安定になっても,ユーザー1人が泣けば済む(本人にはお気の毒ですが)。ウイルスをばら撒くことを思えば,許容すべきリスクと考えるべきだろう。

 しかし,サーバー・マシンとなると話はこれほど単純ではない。パッチ当て作業を行うからと,システムを簡単に止めるわけにはいかない。システムが不安定になってしまっては,影響は多数のクライアントに及ぶ。パッチが提供されたからといって,即時無条件に適用するわけには行かないのだ。

 一方で,サーバーがクラックされた場合の被害は,個人のクライアントがクラックされた場合より甚大。パッチを当てるリスクと当てないリスクを天びんにかけ,その結果に応じた微妙な綱渡りが求められる。そのノウハウをベテランWebシステム管理者に取材した。

ホールの危険度を知る

 危険なホールはなるべく早くふさぐのは当然。逆に,さほど危険ではないホールならその必要はない。「危険でないホール」とは矛盾した言い方のようだが,現実にはけっこうある。たとえば,あるポートを利用してアタックされるホールだが,そのポートは閉じてある場合。これは,適用しないか,計画停止の時などに「念のため」に適用すればよいだろう。

 そこで,パッチ適用の可否,また適用するならどのタイミングかを決定するにはホールの危険度を決定することから始まる。Windowsの場合,マイクロソフトがホールの内容を「緊急」「重要」「警告」「注意」とランク分けしている。

 Linuxなどオープン系ではユーザー自身が独自の判断基準を設けている例が多い。「公開WebサーバーとしてグローバルIPアドレスを持っているサーバーのホール」「ルート権限を奪取されるなど内容が危険」「攻撃方法が公開されている」といったところが危険度ランク大の代表例。これらを同時に兼ねそろえたホールは,危険度「特大」ということになる。自分ではよく分からなくても「メーリング・リストで大騒ぎになっている」というちゃっかりした判断基準もある。

 危険度判断の次はパッチがシステムに与える影響の検証だ。開発環境やアプリケーションの動作確認環境を利用して検証を行う例が多い。また,Webサーバーなど冗長構成を採っているシステムでは,開発環境などでの検証を省略し,いきなり本番環境に適用する手もある。冗長構成の中の1台を外し,パッチを適用した後,本番環境に戻す。しばらく運用した後,ログなどに異常が無ければ,残るマシンにも次々とパッチを適用する。

もちろん,こうした場合でも,開発環境などで検証した後,冗長構成の1台に適用する,という手順を踏めばパッチ適用によるシステム・トラブルなどのリスクをさらに軽減できる。しかし,Webサーバーはインターネット経由での攻撃に直接さらされているので,一刻も早くパッチを適用すべきという考えもある。

 これには,解を求める公式があるわけでなく,最終的には,ユーザーの決断事項。決断にあたっては,技術的な点だけでなくサービスの内容なども考慮する。例えば,システム構成が複雑なら,パッチ適用によるトラブル発生の可能性が高いとして念入りに検証するという考え方がある。その一方で,顧客の個人情報を扱うサーバーなどはシステム構成がどうであれスピード優先でパッチを適用,もしそれによりシステムが停止しても情報を漏らすよりまし,と考える。

適用は「手作業」派が主流だが

 続いて,いよいよ実際の適用作業に入る。作業自体はあらかじめ用意した手順書に基づき,粛々と進めるしかない。クライアントPCには,自動的に各マシンにパッチを適用するツールもある。しかし,こうしたツールをサーバーにも利用することに関しては否定的な意見が多かった。やはり,一台一台ディスプレイに表示されるメッセージを人間の目で確認しながら,手作業で操作しないと,不安なのだろう。

 もっとも,今回取材したシステム管理者の多くは上級レベル。「ソースを見て確認する」という猛者もちらほら。その一方で,OSの提供元のWebサイトなどの情報を頼りに,意味も理解できぬままマウスやキーボードを操作している「システム管理者」も多い。

 実際,パッチ適用作業はユーザーの負担で行うのが一般的だ。専任の専門家などが置けない組織では「ちょっとパソコンに詳しい人」がやらざるを得ない。保守契約などにパッチ適用作業を組み込む例は少ないと聞く。

 これは,セキュリティ・ホールの発見やパッチ適用は例外的な事態であり,あえて明文化する必要はないとの発想から来ているのだろう。しかし,これだけパッチ適用が日常茶飯事になってくると,パッチの適用作業などの負担が重荷になってくる。そこにビジネス・チャンスありとしてパッチ適用システムやサービスが登場している。最善の解決策はセキュリティ・パッチが必要なくなることであるのだが。

(前田 潤=日経インターネットソリューション副編集長)