脆弱性対策に欠かせない!セキュリティ更新プログラムを適用できていますか?
Microsoftから定期的に配信されている、OSやソフトウェアの脆弱性を修正する「セキュリティ更新プログラム(パッチ)」。 社内PCやサーバーに、漏れなく適用されていますか?
企業のセキュリティ環境を保つために欠かせないセキュリティ更新プログラムの適用は、適切な管理のもとにおこなわれていなければ、様々なリスクを背負ってしまうことになります。
皆さまもよくご存じの通り、ランサムウェアやゼロデイ攻撃などPCの脆弱性を狙ったマルウェアは増加傾向にあり、世界中で相次いで情報セキュリティ事故が発表されています。企業において今まで以上に「脆弱性対策(≒セキュリティ更新プログラムの管理)」が重要であると再認識されはじめています。
さらに、Windows 10からはプログラム提供の仕組みが変わり、従来の管理方法では対応しきれないケースも多くなってきています。セキュリティ更新プログラムの適用を徹底させつつも、業務に支障をきたさない運用が、今、情報システム部門に求められています。
セキュリティ更新プログラム未適用のリスク
【具体的なリスク】
・マルウェア感染による被害
・不正アクセス、Web改ざん被害
セキュリティ更新プログラムを適用していなければ、OSやソフトウェアの脆弱性を突いた様々な攻撃を受けやすくなります。たった1台のPCのセキュリティ更新プログラム適用漏れがあらゆる攻撃の標的になることを想定し、個人任せではなくシステム的に適用させることが求められます。
特に被害が拡大しているマルウェア感染、Web改ざんは深刻な情報漏洩などにもつながるため、セキュリティの問題として早急な対策が必要です。
【具体的なリスク】
・社内PCにセキュリティホールがあるか確認できない
・PCのトラブル対応で、原因究明に時間がとられる
セキュリティ更新プログラム適用の状況が把握できていないと、どのPCにパッチが適用されているか・されていないのかが不明なため、社内に潜むセキュリティホールを特定し改善することが困難になります。
万が一、インシデントが発生した場合も、原因の究明に時間がかかってしまい、対応が遅れることで被害が拡大してしまう可能性があります。
「Windows 10」より刷新された、セキュリティ更新プログラムの提供形態
Windows 10以降、新たなOSはリリースされず、年2回機能アップグレードが提供されていく予定となっていることから、Windows 10は"最後のWindows"と呼ばれています。
その背景から、セキュリティ更新プログラムを含む機能アップグレードの方法が刷新されました。これからは月例のセキュリティ更新プログラムの管理のほか、下記の提供形態についても理解を深め、対応していかなければいけません。
【機能アップグレードの提供形態】
●Semi-Annual Channel(Targeted):半期チャネル(ターゲット指定)
最新版のアップデートが自動的に提供される
※旧CB(Current Branch)
●Semi-Annual Channel:半期チャネル
4か月後にアップデートが開始される(最大延長365日)
※旧CBB(Current Branch for Business)
セキュリティ更新プログラム・修正プログラムのみが提供される
※旧LTSB(Long-Term Servicing Branch)
Microsoftは、セキュリティや利便性確保のため、常に最新の状態を保つようアップグレードを推奨しています。
しかし企業では、社内システムへの影響や利用者の混乱などのリスクがあるため、まずは社内の一部でSemi-Annual Channel(Targeted)※旧CB におけるアップグレード内容や更新状況を見て、安定性がある程度確認できたところで、その他の対象についてSemi-Annual Channel ※旧CBB におけるアップグレードやセキュリティ更新プログラムを適用するなど、業務に支障のない運用が求められます。
いまやセキュリティ更新プログラムの適用は、個人任せではカバーすることがますます難しくなっており、情報システム担当者様の責務が大きくなっています。
とはいえ、これ以上作業の負担を増やしたくないとお悩みの方も多いのではないでしょうか。
セキュリティ更新プログラム適用管理の効率化には、IT資産管理ソフト「SS1」がおすすめ!
IT資産管理ソフト「SS1」は、定期的に配信される更新プログラムの適用・管理をスムーズに実施できます。WSUS(Windows Server Update Services)と連携可能なため、操作・運用が難しいWSUSの設定をSS1でコントロールすることで、セキュアな環境構築を手軽におこなえます。
SS1単体でも、Windows 10の機能更新プログラムや、セキュリティ更新プログラムの適用管理が可能です。
また、SS1でWindows Updateの設定をコントロールすることができます。ドメインに参加していないワークグループ環境下のPCにおいても、本来であればPC個別でグループポリシーを設定するかレジストリの設定変更が必要ですが、SS1側から一括で設定変更することが可能です。設定のコントロールはSS1、配信はWSUSと役割分担することで、WSUSだけでは運用しづらい細かな指定も、簡単に設定できます。
社内にWSUSが複数台存在する場合も、SS1の機器設置場所マスタ情報より、Aサーバーは東日本エリアのPC・Bサーバーは西日本エリアのPCを管理するといった、ネットワークを意識した分散管理も手軽におこなえます。
さらに、SS1では更新プログラムごと、機器ごとのアップデート状況を把握することができます。Windows 10においては、機器のOSバージョン/ビルド情報で詳細なバージョン情報を確認できます。
いつでも社内の状況をチェックすることが可能になり、セキュリティホールへの対策を検討したり、管理する手間を削減します。
SS1はWSUS連携だけでなく、インベントリ収集をはじめとした正確なIT資産管理を実現することで、企業のセキュリティ基盤を強化します。
セキュリティ対策の見直しの際には、ぜひお気軽にご相談ください。
SS1LAB編集部
IT資産管理ツールSS1/SS1クラウドを開発・販売している、株式会社ディー・オー・エスの営業企画部メンバーで構成されています。IT資産管理・ログ管理・情報セキュリティ対策など、情シス業務の効率化に役立つ最新トレンド情報を随時発信中!