近年サイバー攻撃が多様化・高度化し、企業は従業員・機密情報を守るために組織的にセキュリティ対策を講じる必要に迫られています。そのキーワードである「ゼロトラスト」セキュリティとして注目されている対策の一つが、パッチ管理(パッチマネジメント)です。
この記事では、パッチ管理(パッチマネジメント)について、IT初心者の方にもわかりやすく解説していきます。
パッチ管理(パッチマネジメント)とは?
パッチ管理(パッチマネジメント)とは、その名の通り「パッチを管理する」ソリューションです。
そもそもパッチという単語そのものの意味は、ソフトの仕様を変更や機能の追加を行う際に、ソフト本体を修正するのではなく、ソフトにプログラムを追加することで変更・追加ができるプログラムのことです。何か変更が生じるたびにすべて物を変えるのではなく、今ある物にシール(パッチ)を貼るように変えたい部分だけを変更します。
このパッチという言葉は、ことセキュリティの文脈になると、「脆弱性(セキュリティホール)に対する対策」という意味で使われます。日々攻撃者は様々な手段で侵入を試みてきますが、その過程でシステム等に侵入され、今まで閉鎖されていた物に脆弱性という穴が空きます。その穴を埋めるのが、「パッチ」です。
しかし、こういった脆弱性は日々様々なところで発生する上に、利用者側は気づかないことも多いので、組織的に管理しないと非常に危険です。そこで生まれたのがパッチ管理(パッチマネジメント)です。
パッチ管理では、日々脆弱性が発見されパッチを当てることが必要なデータを管理し、優先順位をつけて統合的に処理していきます。
パッチ管理(パッチマネジメント)の仕組みは?
パッチ管理は、大きく以下の3つのステップで管理、処理を行います。
①脆弱性情報検知
一つ目が、「脆弱性情報の収集」です。脆弱性情報を収集し、危険性を検知します。
脆弱性情報をどこで収集するかというと、一番メジャーなのは、IPA(情報処理推進機構)やJPCERT/CCといった業界団体のサイトです。こういった業界団体の脆弱性情報は一般に公開されているので、そのサイト等で誰でも情報を収集できます。他にも、SNSやベンダのWebサイト等、様々な角度から情報をいかにリアルタイムに検知できるかが重要です。
②社内PCの状況把握
二つ目が、「社内PCの状況把握」です。①で様々な方法で脆弱性情報を収集しても、重要なのは「社内に影響があるものなのか」ということです。①で集めた情報のうち、社内PCにもインストールされているソフトウェアなのか、対策が必要なものなのか、情報を収集し、状況を把握します。
③最新のパッチの収集
三つ目が、「最新のパッチの収集」です。ソフトウェアに脆弱性が発覚した場合、通常そのソフトウェアから早急に脆弱性対策の最新のパッチが配布されます。パッチ管理ソフトは、その最新のパッチを収集し、今そのパッチを適用することで発生しうる不具合リスクまで確認します。
④パッチ適用のスケジュール作成
四つ目が、「パッチ適用のスケジュール作成」です。脆弱性が発覚しメーカーからパッチが適用された場合、基本的にはいち早くそのパッチを当てることが必要です。しかし、ネットワークの負荷を考え、PC台数を見てグループに分けて実施したり、業務時間外に実施するなど、スケジュールを作成する必要があります。
しかもそういったパッチ適用必要な脆弱性が複数ある場合は、その危険度も考えて優先順位をつけて対策を行っていかなければいけません。
⑤パッチ適用
五つ目は、パッチ適用です。④で作成したスケジュールに従い、基本的にはツールを用いて自動でパッチを適用します。企業によってはこのパッチ適用をPC利用者側にやらせることもありますが、利用者の手間もかかる上に正しく適用できるかリスクもあるので、管理者権限を持って自動で行うことが多いです。
⑥適用状況の確認
六つ目が、適用状況の確認です。⑤の適用でハイ終わりではなく、その後の状況もウォッチします。
脆弱性管理との違いは?
パッチ管理と同じ文脈で登場する単語として、「脆弱性管理」という言葉があります。脆弱性管理とは、「脆弱性情報を影響、リスクを鑑みて統合的に管理する」ことです。ここまでのパッチマネジメントの説明を聞くと、一緒じゃないの?と思われた方もいるかと思いますが、その原因は、「近年の製品は脆弱性管理、パッチ管理の両方の機能を持った製品が多いから」です。
脆弱性管理、パッチ管理とは、製品の種類ではなく、セキュリティ対策におけるフェーズを表す言葉です。脆弱性情報を管理し、その情報をもとにパッチ適用を管理する、という流れです。
最初は脆弱性管理は脆弱性管理ソフト、パッチ管理はパッチ管理ソフトと別の製品で提供されていましたが、近年は両方の機能を提供する製品が増えてきています。そのため、製品説明などでこの二つが一緒に説明され、違いがわからなくなってしまいがちなのです。
なぜパッチ管理(パッチマネジメント)が必要なのか?
ここまででパッチ管理(パッチマネジメント)の仕組みはわかっていただけたかと思いますが、ではなぜ今パッチ管理(パッチマネジメント)が必要なのでしょうか。
一言で言うと、「攻撃が高度化し、人手での対応では対応しきれなくなってきているから」です。
パッチ管理を導入しない場合、企業のセキュリティ担当者自身が脆弱性情報の収集、パッチ適用、管理を行わなければいけませんが、多くの企業はセキュリティ人材が不足しており、人手で行うのには限界があります。しかし、その間にも日々脆弱性は発覚し、パッチ適用が遅れれば遅れるほど企業の情報漏えいリスクは高まります。
だからこそ、パッチ管理(パッチマネジメント)を導入することで、その一連の作業を自動化することが求められているのです。
おわりに
いかがだったでしょうか。脆弱性に対する攻撃は日々進化しており、ユーザーに依存した対策ではなく、企業として組織的にパッチ管理を行っていく必要に迫られています。しっかり仕組み、必要性を理解しておきましょう。なお、パッチ管理同様、EDRというセキュリティ対策もゼロトラストセキュリティとして最近注目されています。EDRについてはこちらの記事で詳しく解説しているので、ぜひ合わせて読んでみてください。
コメント