パッチ運用によってOSやインストールされているソフトに最新のパッチを適用することは、セキュリティを維持するために重要な作業です。パッチの適用は面倒なこともあり、確実に適用されずにセキュリティ上の脅威となる事例も多数発生しています。ここでは、パッチを確実に適用してセキュリティを維持する方法を説明します。
パッチ運用とは
パッチとは、OSや各種ソフトで発生した問題を修正するプログラムのことです。パッチは、OSやアプリケーションソフトのベンダー(開発元または販売供給元の会社など)によって提供されます。
Windows OSのパッチはベンダーのMicrosoft社が提供しており、同社が提供するオンラインサポートサービスであるWindows Updateを使って適用できます。MacやLinuxなど、Windows以外のOSを使っている場合にもベンダーが提供するオンラインサポートサービスを使って適用します。その上で、インストールされているアプリケーションソフトへ、ソフトやベンダーごとに指定された方法でパッチを適用します。特に、Webページを閲覧するためのWebブラウザ、ExcelやWordなどのMicrosoft Office、PDFファイルを閲覧するためのAdobe Acrobat Readerなどでは頻繁にパッチを適用する必要があります。
また、明示的にインストールしたつもりがなくてもインストールされ、パッチが必要となるアプリケーションソフトもあります。例えば、プログラミング言語Javaで作成されたソフトを使うときに必要になるJavaランタイムなどは、他のソフトといっしょに自動的にインストールされるため、PCにインストールされていることに気付かない場合も多くあります。こうしたソフトに対しても、必要なパッチが適用されるようなシステム運用が求められます。パッチを適用する場合には、PCにインストールされているソフトを把握しておくことも必要なのです。
一方で、パッチを適用するとPCやシステムの動作に不具合が生じる可能性があります。市販されているソフトや広く使われているソフトの場合、OSや関係するソフトのパッチ作成にあたり十分なテストがされているため、不具合が生じることは少ないですし、もし生じた場合でも早急に対応されるはずです。しかし、企業独自のシステムやツールの場合、パッチ作成にあたって十分なテストがされていないことにより、パッチ適用で不具合が生じる可能性があります。こうした不具合を避けるため、企業などのシステム担当者はパッチ適用で問題がないかを事前にテストしなければいけません。そしてもしテストで問題があれば、社員や関係者にパッチの適用を止めさせる必要があります。
また、企業などの組織ではパッチをベンダーからダウンロードするとき、ネットワーク負荷が大きくなる場合があります。そうしたネットワーク負荷を減らするため、パッチを配布するサーバーを組織内のネットワークであるLANに設置できます。社員らはパッチをベンダーから直接ダウンロードするかわりに、LAN内のサーバーからダウンロードしてPCに適用します。この場合、パッチ配布の設定によって問題が発生するようなパッチは配布されないように制御することもできます。他にも、パッチ配布のスケジュールを設定して全社一斉のパッチダウンロードを回避したり、パッチを配布するサーバーのレプリケーション(複製)を設置したりすることで、さらにネットワークの負荷を下げられる場合もあります。
パッチとセキュリティ
もしOSやソフトにパッチを適用しなかったら、脆弱(ぜいじゃく)性あるいはセキュリティホールと呼ばれる問題が発生します。脆弱性は、サイバー攻撃やウイルス感染、特に近年広まっている標的型攻撃やランサムウェアの原因となります。
標的型攻撃とは、特定の企業などを狙うサイバー攻撃のことです。企業などが保有する顧客データや開発データ、機密情報といった有用な情報を盗むことが目的で行われます。2015年には標的型攻撃により日本の年金に関する大量の個人情報が流出する事件が発生し、大きな社会問題となりました。その後も標的型攻撃は大きな脅威となっており、IPA(情報処理推進機構)が2019年8月に発表した「情報セキュリティ10大脅威2019」では組織に対する脅威の第1位となっています。事前に入念な準備をしたうえで行われる標的型攻撃は、情報が盗まれてしまったことに狙われた企業や組織が気付かないということもあります。また、標的型攻撃が一度あると、しつこく続くことも多いです。そうした標的型攻撃では、PCの脆弱性が真っ先に狙われます。
ランサムウェア(身代金要求型ウイルス)は、PCに感染してPC全体をロックしたり重要なファイルを暗号化したりすることで使用不能にしたのち、元に戻すことと引き換えに「身代金」を要求します。2017年頃にはランサムウェア「WannaCry」が、日本も含めた世界中の企業に大きな被害をもたらしました。その後もランサムウェアは大きな脅威となっており、「情報セキュリティ10大脅威2019」では「ランサムウェアによる被害」が、「標的型攻撃による被害」「ビジネスメール詐欺による被害」に続いて組織に対する脅威の第3位でした。こうしたランサムウェアも、脆弱性が原因で感染する場合が多いのです。
パッチ管理ツール
特に企業などの組織にとって大きな問題となる脆弱性。社員や関係者の1人ひとりが、セキュリティを意識してパッチを適用することが脆弱性への基本的な対策となります。しかし、それだけでパッチを確実に適用し、脆弱性の問題をなくすのは難しいでしょう。そこで、セキュリティ対策が必要な企業から注目されているのがエンドポイント管理ツールです。エンドポイントとはネットワークで接続された端末のことで、企業のシステムにネットワーク接続されたPCなどのコンピュータや周辺機器のことをいいます。
エンドポイント管理ツールは資産管理とセキュリティの観点から、企業などの組織内にどのようなコンピュータや機器、ソフトなどがあるのかを把握するツールです。ソフトについては、各PCにインストールされているソフトやライセンスなどとともに、パッチの適用状態を確認できます。また、パッチを配布するサーバーを設置し、必要なパッチを自動的に適用できるツールもあります。
KACE SMA
Quest社のKACEシステム管理アプライアンス(KACE SMA)は、エンドポイント管理の自動化と合理化を可能にするツールです。PCや周辺機器の導入から廃棄までを包括的に管理したり、ソフトのライセンスコンプライアンスを確保しながら適切にリソース配分したりできるほかに、パッチ管理を自動化できます。自動化によって、新しいパッチがベンダーからリリースされるたびに自動的に取得して端末に適用します。その結果、各端末は最新の状態に保たれ、脆弱性のリスクは最小限に抑えられます。
KACE SMAは、WindowsやMacなどのOSと、JavaやAdobe Acrobat Readerなどといったアプリケーションソフトの両方のパッチに対応しています。また、エンドポイント管理ツールとして、社内にあるすべてのコンピュータを対象に脆弱性の迅速な検出が可能です。パッチ配布時のネットワーク負荷を軽減するための、パッチ配布スケジュールの設定や、組織に複数の拠点がある場合に対応したリモートレプリケーション機能もあります。
パッチを確実に適用してセキュリティを維持するために、エンドポイント管理ツールKACE SMAをぜひ検討してください。
まとめ
Windows Updateなどによる最新パッチの適用はセキュリティ上、脆弱性を防ぎ標的型攻撃やランサムウェアなどの脅威からコンピュータと組織を守るために重要です。KACE SMAをはじめとするパッチ管理ツールを使うことで、すべてのコンピュータに必要なパッチを確実に適用することができるようになります。