セキュリティパッチとは、OSやソフトウェアの不具合を修正するためのプログラムです。最新のセキュリティパッチを適用することで、既知の問題点を改善することができます。
しかし、最新のセキュリティパッチなら検証不要で導入していい、というものではありません。導入時にはセキュリティパッチのリリースノートを確認し、事前に検証を行ったうえでユーザーへ導入することが重要です。PCに、情シス(情報システム部)が推奨する最新のセキュリティパッチが常に適用されているかのチェックも欠かせません。
本記事では、セキュリティパッチとは何かを再確認しつつ、その役割、管理方法について掘り下げていきます。
セキュリティパッチとは、OSやアプリケーションの脆弱性や機能的な不具合が発見された際に、それを修正するために配信されるプログラムのことです。更新プログラムや修正プログラムなどいくつかの呼び方がありますが、Microsoftの場合はWindows Updateと呼ばれています。
OSやアプリケーションには脆弱性がつきものです。プログラム同士のアップデートや動作の変更などによっても脆弱性が発生します。サイバー攻撃を仕掛ける攻撃者は、常にシステムの脆弱性を見つけようと執拗な攻撃を繰り返しているため、リスクが懸念される点は見つけ次第対策しなくてはなりません。
メーカーはサイバー攻撃により被害が発生するリスクを低下させるために、リリースしたOSやアプリケーションの脆弱性に対して、さまざまな角度からの解析を行っています。
セキュリティパッチの適用は、システムがセキュリティ上の脅威から守られている状態を保ち、情報漏えい対策としても必須のものです。ただし、セキュリティパッチを適用するにあたっては、自社システムへの影響も考慮しつつ柔軟に対応することが求められます。
セキュリティパッチの適用にあたっては、メーカーの公式サイトから定期的に情報収集し、アップデートの確認をすることが大切です。どのような脆弱性に対応するセキュリティパッチなのか、適用後の影響はどのようなものか、リリースノートを見て、必要な点は情シス部門内で検討するようにします。
ここからは、セキュリティパッチを適用するにあたっての一連の流れを見ていきます。
まずは、メーカーの公式サイトから脆弱性についての情報を収集します。メーカーによっては脆弱性データベースや脆弱性診断サービスがあるので、それらの活用を検討してもよいでしょう。
セキュリティパッチを自社のPCに適用した際の影響を確認し、適用する必要があるかどうかについても検討します。また、このときにセキュリティパッチ自体にエラーがないかを確認することも忘れてはなりません。
続いては、セキュリティパッチを実際にダウンロードしてテストする段階です。
セキュリティパッチを適用した場合に既存システムに重大なエラーが発生しないかを、検証用のPCを用いてテストします。このときテストに使用するPCは、できるだけ実際に業務で使用しているPCと同じものを利用しましょう。
不具合が発生しないかをテストしたあと、社内のPCへの展開を決めます。さらなるテストが必要な場合は、社員のなかからテスト協力対象者を決める、もしくはパイロットグループを作成し、段階的に展開するといった方法をとります。
セキュリティパッチを適用する際は、スケジュールの調整も大切です。WSUSサーバーから配信する場合は、ネットワークの帯域に負担がかからない時間を選んで行うといった考慮をしながらスケジュールを設定していきます。
セキュリティパッチを適用したあとは、適用したバージョンが反映されているかをMDM(Mobile Device Management)から確認したり、メール、Office、業務用アプリケーションの動作に影響がないかを確認したりします。
特に問題がなければ通常どおりPC運用を行い、問題が発生した場合はメーカーへ問い合わせるといった対応を行います。
セキュリティパッチが配信されているかどうかは、定期的に確認することが大切です。MDMなどのシステム上から各PCへ適用されているセキュリティパッチのバージョンを確認する、もしくは確認用のパッチファイルを実行するなどして、インストール確認を自動化することがおすすめです。
通常は、セキュリティパッチがインストールされているかどうかについて意識しながらPCを利用している社員は少ないため、エンドユーザーにマニュアルを配布し、インストールされているセキュリティパッチのバージョンを都度確認してもらうといった方法は取らずに、情シスで責任を持って確認をする運用の方が望ましいと言えます。
また、MDM以外にも、PCのセキュリティパッチ適用状況をリアルタイムで監視でき、一元的にインベントリ情報を収集できる機能を持った資産管理ツールを導入することも有効でしょう。資産管理ツールによって、セキュリティパッチだけでなく、ハードウェア、ソフトウェア、ネットワーク機器などの物理的資産情報、OS、ライセンスなどのインベントリ情報まで合わせて収集・管理できるなら、より情シスの利便性を高められます。
セキュリティパッチはOSやアプリケーションの脆弱性を解消し、機器を安全に運用していくために必須です。セキュリティパッチの適用を適切に管理するには、インストール状況を一覧で管理できるツールの利用が便利です。
DRSは、PCのレンタルサービスを提供するだけではなく、「DREAMS(ドリームス)」というIT資産管理データベースも提供しています。ハードウェア、ユーザー、所属部署の情報に加えて、OSやインストールされているソフトウェアのバージョンなどのインベントリ情報も一元管理できるデータベースです。セキュリティパッチの効果的な運用をお考えの場合は、ぜひ「DREAMS」の導入をご検討ください。
