企業のシステム管理者として、社内PCへたびたび配信されるセキュリティパッチの管理・運用を行うことは非常に重要ですが、なぜパッチ管理をする必要があるのか、パッチ管理を行う上でどのような課題があるか、といったことについて十分に整理できていないという方もいるのではないでしょうか。

そこで今回は、パッチ管理の重要性について解説しつつ、管理上の課題について整理を行い、具体的な解決方法についてもご紹介します。

パッチ管理が重要な理由とは

ソフトウェアやOSにおける「パッチ」とは、セキュリティパッチとも呼ばれ、脆弱性(セキュリティホール)やバグの修正、機能の改善などを目的として配布される修正プログラムのことを指します。

衣類の穴を塞ぐための「布当て」が言葉の由来とされており、文字通り「機能の穴」を「塞ぐ」ために当てられるものとして、各サービスの提供企業から逐一配信されています。

パッチを管理することが企業において重要な理由は、セキュリティ上のリスクを事前に回避するためです。

パッチ管理によって対策できるセキュリティリスクには、以下のようなものがあります。

マルウェアやコンピュータウイルスによる情報流出

マルウェアとは、特定の動作を不正に実行し、機密情報の流出やデータの破損といった悪影響を端末に与えるソフトウェアやコードの総称です。コンピュータウイルスとも呼称され、近年電子メールやSNSサービスなどさまざまな経路からの感染により、顧客情報の流出やファイルの強制的な暗号化といった被害が日本企業でも発生しています。

国内での具体的な事例としては、2017年に大手電機メーカーが身代金要求型の「ランサムウェア」被害を受け、社内システムやメールの送受信などに大規模な障害が発生したことなどが挙げられます。

これらマルウェアは、特定のバージョンのOSやソフトウェアに存在する脆弱性を突いて実行されることが多いといわれています。そのため、常にOSやソフトウェアを最新の状態へと更新することで被害を予防できるといえます。

アプリケーションのセキュリティ管理について詳しく知りたい方は下記よりご覧ください。

アプリケーションにおけるセキュリティ管理の重要性と解決策

問題なくWindows 7からWindows 10へ移行するための注意点については下記よりご覧ください。

Windows 10への移行はガイドを伴わずに釣りに行くようなもの

企業を標的としたハッキングや不正アクセス

上記に挙げたマルウェアやコンピュータウイルスを用いたり、システムの穴を突いたりしてWebサイトやサーバへのハッキングや不正アクセスといった事件が発生することも多々あります。

代表例としては、2016年に発生した大手旅行会社を標的とした事件が挙げられます。793万件もの顧客の個人情報が流出してしまったこの事件は、端末のパッチが最新でなかったためサーバ内にまで不正な侵入を許してしまったことが一因であると見る識者も存在するようです。

上記に挙げたようなリスクを回避するためにも、企業の情報システム部門やIT部門には脆弱性やバグの改善のために配信されるパッチを常に適用していく運用管理が求められます。

データ漏洩の脅威や予防策については下記よりご覧ください。

日本企業のセキュリティ脅威1位に「標的型攻撃による情報漏洩」

セキュリティ対策について詳しく知りたい方は下記よりご覧ください。

2019年はセキュリティ脅威の増加に伴い、規制の強化も進む

ハッキングの脅威や予防策について知りたい方は下記よりご覧ください。

国家の支援を受けたハッキングが企業をターゲットに

社内でパッチの管理・運用をする上での課題とは

実際にパッチを管理・運用する際にも、さまざまな課題が考えられます。

各種パッチは定期的に更新される場合も不定期的に更新される場合もあるため、一度インストールし終えたからといって、そのままにしておいてはいけません。そのため、パッチを常に管理・運用し、社内におけるセキュリティリスクの軽減を目指さなければいけません。

ただし、そのように社内でパッチの管理・運用をするにあたって、以下のような事柄が課題として挙げられます。

管理にかかる工数

中小企業から大企業まで例外なく、多数のPC・スマートフォンといったIT端末にさまざまな種類のソフトウェアがインストールされ業務に利用されています。そのため、各従業員が利用する端末やソフトウェアのバージョン情報や規格について調査し、リストアップすることには多くの工数が必要となります。

また、利用しているPCの仕様の違いによって適用すべきパッチにも差異があることがほとんどです。各ケースに対してまったく異なる対応を強いられることもしばしばあります。

さらに、パッチを適用するためのスケジュール管理や適用状況のモニタリング、パッチの入手や各端末へのインストール作業など、単にパッチを適用していくことにも多くの工数が発生してしまうことが課題と言えます。

パッチの仕様調査

パッチが配信された際、ただ即座に適用していけばよいというわけではないこともパッチの管理を行う上での課題です。

各端末のOSやインストールされたバージョンなどの細かな違いによって、時にはパッチの適用がソフトウェアの動作に悪影響を与えてしまうことも想定されます。そのため、最新パッチの具体的な修正内容、推奨されるバージョンや環境など、細かな仕様を調査した上で、安全にパッチを適用していくことが求められます。

パッチ適用により生じる課題やリスクについて詳しく知りたい方は下記よりご覧ください。

パッチ適用に伴う課題とそのリスクとは

パッチ管理の課題を解決するために検討すべき「自動化」

前述の通り、企業におけるパッチ管理は工数の面で多大な負担を強いられることが課題となります。また、情報セキュリティに関する知見のある従業員が物理的に不足していることも大きな課題です。とは言え各従業員に使用するOSやソフトウェアの自己管理を実施させると、個々人のITリテラシーの差異によるパッチ更新状況の差異などから、場合によっては大きなセキュリティリスクとなりかねません。

こういったことを鑑みると、少ない社内リソースを活かしつつより効率的なパッチ管理を実現するためには、パッチ管理ツールを用いて管理を自動化することが有効です。

Ivanti Software株式会社の提供するパッチ管理ツールは、セキュリティパッチ管理作業におけるパッチの収集・パッチ適用状況の調査や評価・セキュリティ診断といった工程を自動化し、情報セキュリティの向上と工数削減を実現するツールです。

環境が異なるすべてのデバイスを等しくリアルタイムで管理し、PC同士でP2P技術を用いたパッチシェアも可能にするなど、企業のIT部門の悩みを解消し、かつセキュリティレベルの向上も実現するツールです。

Ivanti Software株式会社のパッチ管理ツールについての詳細は、以下をご参照ください。

Ivanti Patch for Endpoint Manager - パッチ管理でセキュリティ対策

まとめ

今回はセキュリティパッチを管理することの重要性の解説をはじめ、パッチ管理における課題とその解決策についてご紹介しました。

ランサムウェアをはじめとした各種コンピュータウイルス・マルウェアの爆発的な流行や、脆弱性の発見から日時を置かず不正アクセスなどを仕掛けるゼロデイ攻撃などの対策のためにも、レベルの高いパッチ管理体制の確立を目指しましょう。

サイバーセキュリティについての関連記事をさらに読みたい方は下記よりご覧ください。

パッチ適用だけでは不完全?今後のセキュリティリスクについて徹底解説

資産管理の重要性についてさらに知りたい方は下記よりご覧ください。

資産管理が最も重要なセキュリティ対策である理由