パッチ管理(パッチマネジメント)とは?その仕組みと管理ツール

定義

ソフトウェア開発ライフサイクル(SDLC)の構成要素の1つは、それを維持することであり、パッチ管理戦略は、アップデートとホットフィックスをデバイスのネットワーク間で利用可能にする方法を処理します。ソフトウェアのバージョン管理は、複数の開発者が頻繁にアップデートをリリースし、これらのアップデートが毎月一貫してリリースされている場合、管理が困難になることがあります。パッチ管理のプロセスは、ITスタッフにとってかなりのオーバーヘッドとなりますが、インストールされたソフトウェアの競合、サイバーセキュリティの問題、バグ、その他の脆弱性を回避するために、デバイスのメンテナンスに必要な部分です。このプロセスを自動化し、ITスタッフのオーバーヘッドを削減するために、いくつかのパッチ管理ソリューションが利用可能です。

パッチ管理の仕組み

パッチ管理は、サードパーティのソフトウェアを使用して自動化されることが多いですが、アップデートの配布頻度、プロセスの監督者、パッチのロールバックが必要な場合の処理など、人による介入も必要です。自動化ソフトウェアによって、パッチをインストールする前にレビューとテストを行うITスタッフは時間を節約できますが、ソフトウェアの導入方法をめぐる戦略には依然として人の介在が必要なのです。

パッチ管理の最初のステップは、デバイスに古いソフトウェアがないかをスキャンすることです。デバイスはローカルネットワーク上にある場合もあれば、クラウドに接続され、組織によって管理されている場合もあります。スキャンされるデバイスは、対象となるソフトウェアが古いかどうかを特定するために、スキャナーにアクセスする許可を与える必要があります。どのスキャナーでもデバイスのソフトウェアのバージョンにアクセスできる場合は、サイバーセキュリティ上の問題である可能性があります。場合によっては、ソフトウェア自体が中央サーバーをポーリングして、現在インストールされているバージョンが最新かどうか、あるいはアップデートが可能かどうかを判断することができます。

デバイスに古いソフトウェアが含まれている場合、次のステップは、ターゲットに最新のアップデートをアップロードすることです。ソフトウェアが中央サーバーをポーリングしている場合、ソフトウェアが最新のアップデートとホットフィックスのダウンロードをトリガーするかもしれません。パッチ管理は、正しいアップデートとホットフィックスを正しい順序で適用する必要があります。ユーザーが以前のアップデートを実行していない場合、パッチ管理は、最新のアップデートを適用する前に、以前のアップデートがすべてインストールされていることを確認します。

パッチ管理の1つの方法として、ファイルを中央のサーバーに送り、開発者のソフトウェアがポーリングしてアップデートを確認する方法があります。そうすれば、ソフトウェアが自動的にアップデートする代わりに、ユーザーが手動でファイルをダウンロードすることが可能になります。自動化ツールを使わずに手動でファイルをインストールすることを好むユーザーもいるので、開発者はユーザーにそのオプションを提供する必要があります。

最後に、ITスタッフは、パッチが正常にインストールされたかどうかを知る方法を持たなければなりません。優れたパッチ管理ソリューションでは、開発者や他のITスタッフがインストールが成功したことを確認できるレポートを提供します。このコンポーネントは、ネットワーク上の数十台のデバイスを追跡し、クラッシュやサイバーセキュリティの脅威にさらされていないことを確認しなければならない社内のITスタッフにとって、非常に重要です。

パッチ管理のベストプラクティス

すべてのデバイスでアップデートプロセスを円滑に進めるために、ソフトウェア開発者、およびアップデートを管理する企業は、戦略を立てる必要があります。構築される戦略は、ネットワーク環境とパッチを適用する必要があるデバイスの種類によって異なります。ソフトウェア開発者は、ソフトウェアを一般に公開することができますが、ユーザーが数バージョン遅れていても自由にソフトウェアを更新できるように、アップデートを処理する必要があります。企業は、企業資産を保護し、情報漏えいを防ぐために、すべてのユーザーが最新のアップデートを利用できるようなパッチ管理戦略を構築する必要があります。

戦略を考える前に、開発者がアップデートをリリースする方法を制御するSDLCを理解することも重要です。ソフトウェア開発者がアップデートをリリースしますが、組織はアップデートを頻繁にチェックする必要があります。パッチ管理ソフトウェアは、ITスタッフに代わって作業のほとんどを実行可能ですが、それでもスタッフはアップデートが失敗していないことを確認するためにレポートをチェックする必要があります。

パッチ管理戦略を考案するための共通のベストプラクティスをご紹介します。

  • IT担当者とソフトウェア開発者は、パッチ管理の重要性を理解する必要があります。頻繁に更新する必要があるソフトウェアは、パッチをダウンロードできるようにし、ITスタッフは自動化ツールを使用して、これらのパッチが利用可能になったときにソフトウェアが更新されるようにしなければなりません。ペンテスターやホワイトハットハッカーによってソフトウェアに脆弱性が発見された場合は、直ちにパッチを適用すべきです。
  • 深刻な脆弱性は、ソフトウェアが古い場合、ホットフィックスを使用してすぐにパッチを適用しなければなりません。古いソフトウェアの深刻さを示す例として、WannaCryランサムウェアの流行があります。MicrosoftがSMBの脆弱性を修正する更新プログラムをリリースしたのにもかかわらず、古いバージョンのWindowsによってランサムウェアが蔓延してしまったのです。
  • 企業にとって、自動化ツールはパッチ管理のオーバーヘッドを減らすのに役立ちます。一部の開発者は、中央サーバーにインストール可能な自動化ツールを備えたエンタープライズバージョンのアプリケーションを提供しています。これらの自動化ツールは、デバイスに古いソフトウェアがないかをスキャンし、必要に応じてアップデートします。
  • パッチを適用する前に、デバイス上でアップデートをテストします。また、複数のデバイスにアップデートを送信する企業は、何十台ものマシンを自動的にアップデートする前に、1台のテストデバイスでテストすべきです。

パッチ管理ツール

開発元が自動化ソリューションを提供してなかったとしても、ITスタッフのパッチ管理対応を助けるツールがいくつか存在します。これらのツールは一般的に企業向けです。なぜなら、個人は手動でアップデートをダウンロードすることができるからです。いくつかのソフトウェア開発者は、ホームユーザーのマシンで動作し、中央サーバーをポーリングしてアップデートを自動的にダウンロードするツールを提供しています。Windows 10のオペレーティングシステムは、ユーザーの操作なしで自動的にダウンロードとアップデートを行うソフトウェアの一例です。

アップデートを自動化するために使用できるパッチ管理ツールをいくつかご紹介します。

1. SolarWinds Patch Manager

SolarWinds社のパッチ管理

 

2. ManageEngine Patch Manager

ManageEngine社のパッチ管理

 

3. Ivanti Shavlik

Ivanti社のパッチ管理

 

4. GFI LandGuard

GFI社のパッチ管理

E-book: ランサムウェアサバイバルガイド2022

ランサムウェアは古くからある脅威ですが、なくなることはありません。プルーフポイントの最新のランサムウェアサバイバルガイド をダウンロードして、攻撃の前、最中、後に何をすべきかを学んでください。

プルーフポイントのThreat Responseソリューション

プルーフポイントの最新Threat Response ソリューションにより、セキュリティチームが組織内の人を標的とした脅威にどのように対応できるかをご覧ください。