検索
連載

WannaCryも防げたはず。今度こそ「パッチ適用」を徹底しよう今さら聞けない「セキュリティ基礎の基礎」(1)(2/3 ページ)

サイバー攻撃が年々高度化、巧妙化している今、企業には一層高度なセキュリティ対策が求められています。日々付き合いがあるベンダー、SIerの意見やアドバイスを参考することも大切ですが、ご自身でも、あらためてセキュリティ対策の基礎を確認してみませんか?

PC用表示 関連情報
Share
Tweet
LINE
Hatena

アップデートやパッチ適用ができない原因

 企業においてアップデート、パッチ適用ができない理由は何通りか考えられます。筆者が考える4パターンを以下に記載します。

パターン1.ネットワークの通信制限

 社内全てのコンピュータを同時にアップデートしたりパッチを適用したりする場合、会社の保有するコンピュータの数だけインターネット通信が発生してしまい、一時的にネットワークがまひする可能性があります。例えば、会社のコンピュータ1000台全てにファイルサイズ1MBのパッチ適用を行った場合、おおよそ1GB(1000MB)の通信がいきなり発生することになります。社内のコンピュータ数やファイルのサイズが多ければ多いほど、発生する通信は膨大になっていきます。

 インターネットの利用がアップデートやパッチ適用だけであれば問題ないかもしれませんが、業務で使っていると、帯域制限により通信ができなくなることが考えられます。最悪の場合、ネットワーク機器がダウンして通信できなくなる可能性もあります。

 通信制限やネットワークがダウンすると、アップデート、パッチ適用はできません。ではどうすればよいのでしょうか?

 この問題を解決するためには、会社内にリポジトリを作成するのが有効です。パッチ適用時は会社内に構築したリポジトリ内から必要となるファイルを取りに行くことで、パッチ適用によるインターネット通信を最低限度に抑えることができます。

 なお、Windowsのパッチ適用に用いられる代表的なリポジトリとしてはWindows Server Update Services(WSUS)というソフトウェアがあります。

パターン2.コンピュータ利用者がパッチ適用を実施しない

 パッチ適用を実施するのはコンピュータ利用者が行うことが多いと思います。しかし、コンピュータのOSやソフトウェアのアップデート、パッチ適用を利用者側が責任を持って行う体制としている場合、利用者が種々の理由によってアップデートを行わないことがよくあります。むしろ、必ずパッチ適用が行われる保証はどこにもありません。

 こういった場合、まず「どのコンピュータで、何が未アップデート、パッチ未適用か」を正確に把握する必要があります。また、利用者に依存せず、管理者側からアップデート、パッチ適用を実施できる仕組みが必要になります。

 この問題を解決するためには、パッチ管理ソリューションを導入するのが有効です。各コンピュータの情報を収集し、未アップデート、パッチ未適用のコンピュータを洗い出します。また必要に応じて、マネジャーから各コンピュータに対してアップデート、パッチ適用の実施を命令することで、利用者の操作を必要とせずにコンピュータに対してアップデート、パッチ適用を実施することができます。

 WindowsOSでは「Microsoft System Center Configuration Manager」(SCCM)などがあります。

パターン3.システムを停止できないシステム

 アップデートやパッチ適用はサービス、システムが一時的に停止したり、再起動が必要になったりする場合があります。また、パッチを適用することで不具合が発生する場合もあります。

 これは可用性が求められるサーバや基幹システムなどで発生しやすい問題です。再起動やシステム、サービスの停止は会社内で事前にアセスメントしておく必要があります。止めるとしたらいつ止めるのが最も影響が少ないのか、止める場合の手順や連絡経路、障害発生時の対処などをアセスメントしておきます。

 また、事前にパッチ適用による影響がないかどうかテストできる環境があると、パッチ適用による不具合でシステムが止まるようなことは軽減できます。また、サーバサイドのアップデート、パッチ適用に特化したパッチ管理ソリューションを用いることで、少ない負担で対策を実施できると思います。

パターン4.初期化によるパッチ未適用

 故障やマルウェア感染などの要因でコンピュータを初期化した場合、アップデートやパッチ適用が行われていない状態に先祖返りすることがあります。初期化した段階でアップデート、パッチ適用を行えばよいのですが、忘れられがちな部分でもあります。

 この問題を解決する方法としては、シンクライアントの導入があります。シンクライアンとでは1つのマスターを複製して複数のユーザーが利用するため、マスターをアップデート、パッチ適用しておくことで、全てのユーザーに対して適用されます。そのため、パターン1、2に対しても有効な方法とも言えます。

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. 「生成AIのサイバー攻撃への悪用」は増加する? 徳丸浩氏が予測する2025年のセキュリティ
  2. AWS、組織のセキュリティインシデント対応を支援する「AWS Security Incident Response」を発表 アラートに圧倒されるセキュリティチームをどう支援?
  3. 商用国家安全保障アルゴリズム(CNSA)の期限となる2030年までに暗号化/キー管理サービス市場が60億ドルに達するとABI Researchが予測 急成長の要因とは?
  4. ChatGPTやClaudeのAPIアクセスをかたってマルウェアを配布するPython用パッケージ確認 Kasperskyが注意喚起
  5. Google、オープンソースのセキュリティパッチ検証ツール「Vanir」を公開 多種多様なAndroidデバイスの脆弱性対応を支援するアプローチとは
  6. 高度なAIでAIをテスト OpenAIが実践するAIモデルのレッドチーム演習とは
  7. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  8. 「SQLite」のゼロデイ脆弱性、GoogleのAIエージェントが見つける AIは脆弱性調査の課題をどう解決したのか?
  9. 従業員は「最新のサイバー脅威との戦い」を強いられている セキュリティ教育に不満を持つ理由の1位は?
  10. 堅調なID管理や認証、脅威インテリジェンスなどを抑え、2024年上半期で最も成長したセキュリティ分野は?
ページトップに戻る