企業のパッチ管理のための 3つのアドバイス

avatar

 2019.09.10  Japanブログ編集部

数週間前のことです。私が朝起きると、Androidの画面に34件のソフトウェアアップデートの通知がありました。すると、私のノートPCもマイクロソフトからの最新のパッチをインストールしたので再起動したいと言ってきました。おまけに、タブレットも最新のファームウェアアップデート後にタブレットを再起動するよう訴えてきます。さらには私のサーバーまでが、“yum”を実行してRed Hatからの最新のパッチをインストールするよう求めてきました。これらすべて、朝の10時までに起こったことです!

私たちが今日使用しているあらゆるテクノロジーでは、ソフトウェアの更新をインストールすることがほぼ毎日の業務になっています。これは、テクノロジー業界のすべての専門家、特に大企業のITシステムパッチ管理担当者にも言えることです。

パッチ管理プロセスを理解する

最近、Tripwireの脆弱性調査チームであるVulnerability and Exposure Research Team(VERT)は、企業がどのようにして次々と送られてくるパッチを処理しているのか疑問に思い、それに関する調査を行いました。予想どおり、多くの組織が絶えず追加される膨大なパッチをさばくのに苦労していることがわかりました。

多くの人はパッチのインストールなど簡単だと思っています。ただボタンをクリックするだけだと思っていませんか?実は、そうでもないのです。パッチのインストールの難しさはプラットフォームによって異なり、最も簡単なインストール方法(ボタンをクリックするだけ)から、さじ加減の難しい一連のイベントを含む複雑なシナリオまで多岐にわたります。

ただし、インストールの難しさだけが問題なのではありません。パッチの適用テストもまた重要な要素です。パッチ適用の規模とともに、現代の大企業向けパッチ管理における非常に難しい側面となっています。

1.展開前のパッチ管理手順を改善する

企業は、パッチがもたらす変更の潜在的な影響を理解せずに、やみくもにパッチをインストールしてはいけません。これまでもパッチは破壊をもたらしてきた歴史があり、企業内で何かが破壊されれば、大混乱が生じます。

最近の調査では、483人のITの専門家にパッチの管理に関する意見を求めました。パッチ管理に携わる人の約半数が、展開前に常にパッチをテストしています。約30%は、テストを行うかどうかはパッチの内容によると答えています。パッチをテストしたことがないと答えたのは20%未満でした。

もう1つの質問は、デスクトップおよびサーバー用のパッチのテストに費やした時間についてです。図1からわかるように、ほとんどの組織では、パッチの展開前に環境内で約1週間またはそれより短い時間パッチをテストしています。

Screen-Shot-2016-05-01-at-7.59.17-AM

2.パッチがもたらす疲労に注意する

しばらく前に、私はインターネットTVショーのTWiTで、TWiETチャンネルのあるエピソードについて「Padre」氏によるインタビューを受けました。このときのトピックは「Enterprise Patch Fatigue(企業のパッチ疲れ)」というものでした。Padre氏の質問の1つは、パッチを社内環境に展開する前に全面的なパッチテストを行うことの実現可能性についてでした。

組織が全面的なパッチテストを実施できるかどうかは、組織の規模とリソースによって左右されます。仮想化およびオーケストレーションの技術と優れたパッチ・脆弱性管理ソフトウェアを組み合わせると、広範囲なパッチテストを可能にする環境を構築しやすくなります。

それでも、企業があらゆる構成をテストするのは難しいことです。ネットワークが拡張されれば、それは不可能になります。ノードが増えるということは、テストするシナリオの数も増えるということを意味します。そして、すぐに手に負えない状況に陥るでしょう。

現在、パッチの適用テストはベストエフォートベースで行われています。また、大半のソフトウェアベースのテストと同様に、テストケースの「状態空間」全体のごく一部しかカバーしていません。重要な問は「将来、高度に相互接続されるシステムがますます増えていっても、このシナリオは機能するのだろうか」ということです。

3.ITの進化に対応するパッチ管理のベストプラクティスを探求する

モノのインターネット産業用インターネット、サイバーフィジカルシステムといった現在のトレンドは、近い将来インターネットに接続するデバイスの爆発的増加を生み、規模の限界を押し広げています。

オーストラリアのデータセンターでパッチのインストールに失敗したら、インフォテインメントセンターが誤作動を起こして、ナビゲーションがおかしくなるといったことが起きるでしょうか?他にはどのような問題があるでしょうか?技術者はこのような問題について検討する必要があります。

間違いなく、今後新しい技術革新がもたらされ、パッチのテストにまつわる問題を軽減してくれるでしょう。私は自動化が大きな役割を果たすと信じています。また、自動化されたテストプロセスに関する高度な研究が必ずやこの分野の助けとなってくれるでしょう。将来の技術開発が、どのようなパッチ適用の世界に我々を導いてくれるのか楽しみです。

パッチの適用とテストの状況について、あなたはどのように考えますか?是非ご意見をお寄せください。

Tripwireのパッチ管理ソリューションが御社のビジネスにどのように役立つかについての詳細を知るには、こちらをクリックしてください。

トリップワイヤ・ジャパンでは脆弱性管理、法規制遵守、インシデント対応やサイバーセキュリティに関する有益な情報をお届けしております。すべてのカタログ、セキュリティに関する情報はこちらからダウンロードいただけます。Tripwireセキュリティ リソース

 
New Call-to-action

RECOMMEND関連記事

改ざん検知

Webサイトの改ざん検知に使えるフリーソフト4選
脆弱性管理

Intel製プロセッサの重大な脆弱性「Spectre」と「 Meltdown」について(英語版)
改ざん検知

SSL/TLSの改ざん検知とは?
改ざん検知

AWSの改ざん検知機能の実力とは?
この記事が気に入ったらいいねしよう!

Navigation
© 2024 Tripwire Japan K.K.
All Rights Reserved.