パッチ管理のやり方とは?社内PCを効率よく管理する方法を解説

2403winpatch_thumbnail.webp

2024年1月24日、社会的な影響度に応じてIPA(独立行政法人情報処理推進機構)が毎年発表している「情報セキュリティ10大脅威」の2024年版が公開されました。

本調査では、組織に対する脅威として「ランサムウェアによる被害」「サプライチェーンの弱点を悪用した攻撃」「標的型攻撃による機密情報の窃取」などが上位ランクインしていますが、実はこれらの脅威にはある共通点が存在します。
それは、ソフトウェアやOSの脆弱性を糸口として攻撃を仕掛けているという点です。

そしてIPAでは、このような攻撃に対する基本的な対策の一つとして、ソフトウェアの更新──つまり「パッチ適用」を掲げています。

今回は、パッチ適用をコントロールする「パッチ管理」の概要と、パッチ管理の中でも特にメジャーなWindows OSに対する管理について、各手法の解説やおすすめの管理方法をご紹介します。
Windows UpdateやWSUS、IT資産管理ツールでの管理におけるメリット・デメリットも解説しますので、Windows OSのパッチ管理でお悩みの方はぜひ最後までご覧ください。

(2024.12追記)
WSUSはMicrosoftより廃止が発表され、パッチ管理ツールとしてはその他製品への代替が案内されています。詳細は下記の記事をご参照ください。

関連記事

パッチ管理とは?

trend-windows-update_01.webp

パッチ管理とは、OSやソフトウェアに対するパッチ適用を管理者側で制御するプロセスを指します。
もう少しかみ砕いて言えば、OSやソフトウェアに生じた脆弱性(バグ)に対し、必要に応じて修正用のプログラムを計画的に上書きしていくことです。

ハードウェア、OS、ファームウェア、アプリケーションなど、パッチ適用の対象は多岐にわたります。
加えて、それぞれのパッチには「パフォーマンス向上のための機能改善」から「新たな脅威に対する脆弱性対策」などが含まれており、その重要度には一定のランクが存在します。

例えばWindows OSに対するパッチには、日々開発される新機能の配信から、脆弱性対策のためのセキュリティアップデート、Windows PC付属のウイルス対策ソフトであるMicrosoft Defenderの定義ファイル更新まで、あらゆる内容が含まれています。

これらのパッチは、基本的に全て適用することが望ましいとされています。しかし、実際にはさまざまな理由で全適用が難しいケースもあるようです。
とはいえ、組織のセキュリティ体制を構築する上では、脆弱性対策としてのパッチ適用をおこなわないわけにはいきません。よって、パッチ適用における問題点をうまく処理しつつ脆弱性対策をおこなうという点において、「パッチ管理」の実施は必要不可欠なのです。

パッチ管理の目的と重要性

trend-windows-update_02.webp

前項で「パッチ管理」の概要について述べましたが、改めてその目的や重要性について掘り下げていきましょう。
パッチ管理の目的は、主に下記の2点に集約されます。

セキュリティリスクへの確実な対応

組織のIT管理者による適切なパッチ管理は、セキュリティ脅威へ対応するもっとも基本的な対策の一つです。
組織の端末にインストールされているOSやソフトウェアに生じた脆弱性について俯瞰的に把握し、IT管理者側が計画性をもって一括対応することで、パッチの適用漏れリスクを未然に防げるようになります。

もしパッチ適用を端末の利用者に一任するなどして管理を怠ってしまうと、各端末でパッチ適用状況の格差が生まれてしまったり、共用PCといった明確な利用者が存在しない端末のパッチ適用が放置されてしまったりと、多くの問題が発生してしまいます。
パッチ適用の担当者を定め、一元的な管理・運用をおこなうことで、セキュリティリスクへ確実に対応できるようになるでしょう。

ビジネスへの影響を回避

多くの場合、パッチ適用には数分から数時間ほどの時間がかかります。もし就業時間内にパッチ適用をおこない、その間端末を操作できなくなってしまうと、業務に支障をきたす恐れがあるでしょう。
また、パッチによっては使用しているOSや既存のシステムとの間に不具合を起こすことも想定されます。影響が広範囲に及んでしまえば、全社的な業務停止に追い込まれ、ビジネスの継続性すら危ぶまれることにもなりかねません。前項で「さまざまな理由でパッチを全て適用できない場合がある」と述べたのは、こういったケースが存在するからです。

ビジネスへの影響を最小限にするためには、パッチ適用時間のコントロールや適用前の動作確認が必要になります。
これも、パッチ管理をおこなう目的の一つです。

パッチ管理が適切でなかった場合のリスク

Infomation_leak_cases_human.png

では、パッチ管理が適切におこなわれなかった場合にはどのようなリスクがあるのでしょうか。

セキュリティ上のリスク

特にセキュリティに関するパッチをあてずにいた場合、組織のセキュリティ体制に対する脆弱性を放置することになるため、深刻なセキュリティリスクを抱えてしまいます。

近年増加しているランサムウェア攻撃をはじめ、多くの攻撃者はこうした脆弱性を悪用して不正アクセス機密データ窃取などを実行します。パッチ管理を怠ると、サイバー攻撃被害のターゲットとされる隙を生むことになってしまうのです。

システムの安定稼働に対する悪影響

セキュリティ用途以外にも、パフォーマンス改善バグ修正など、パッチにはさまざまな種類が存在します。
このようなパッチを適用しないでいると、システムの安定的な稼働に大きな問題が生じることがあります。

2023年4月3日、大手航空会社の保有する国内旅客システムで大規模なシステムトラブルが発生しました。
のちにこのトラブルはデータベース内部のシステムエラーが要因であったと判明しますが、そのエラーの大元の原因は既知のバグによるものでした。すでにパッチがリリースされていたのにも関わらず、大手航空会社側が適用を怠っていたのです。

問題発生頻度が極めて稀なバグへの修正パッチについて、手前のシステム安定稼働を優先して適用を見送るケースはよく聞かれます。しかし一度でも問題が起きてしまえば、その後の影響は計り知れないものです。

参考

コストの増加

上述のように、サイバー攻撃被害に遭ったりシステムトラブルが発生したりした場合、その後の対応には多くの人的・金銭的コストが発生します。
システムやデータの復旧作業はもちろん、関連各所への情報連携や顧客に対する謝罪対応などに多くのリソースを割かなければならなくなるのです。

従業員はこれらの作業を通常業務と並行しておこなうことになるため、業務効率に大きな支障が出てしまう恐れがあります。そのような状況が続けば、事業全体に対して甚大なダメージを与える可能性すらあるでしょう。

組織としての信頼低下

パッチ管理を怠り、何らかのインシデントが発生してしまうと、自社の顧客や関連組織からの信頼失墜につながってしまいます。

特に、交通インフラ関連のシステムトラブルやサイバー攻撃による個人情報流出などは、多くの人に影響を及ぼすことが予想されます。そういったインシデントが公に報じられてしまった場合、組織のブランドイメージが大きく低下してしまうでしょう。

一度失った信頼を取り戻すことは非常に困難です。こうした影響は、長期にわたって組織にマイナスの効果をもたらし続けることになります。

パッチ管理の方法

では、パッチ管理とは具体的にどのようにおこなうものなのでしょうか。
ここでは、一般的なパッチ管理の運用サイクルをご紹介します。

patch_cycle.png

1.最新パッチ・脆弱性情報の収集

ソフトウェアベンダーなどのサービス提供元から公開されている、最新のパッチや脆弱性に関する情報を確認し、組織内にあるIT機器のバージョン情報と見比べます。

これには、ベンダーからの情報を逃さずに把握するのはもちろんのこと、日頃からIT機器に関する台帳の作成・最新情報への更新をおこなっておく必要があります。
ちなみに、導入しているソフトウェアなどについては「SBOM(Software Bill of Materials)」を作成しておくと安心です。
SBOMの詳細や脆弱性対策における必要性については、下記の記事をご参照ください。

関連記事

2.パッチの適用

パッチを発見したら、該当機器への適用をおこないます。
既存システムとの不具合が懸念される場合は、事前にテスト用の端末でパッチ適用をおこなったあと、一定の期間を空けて全社展開をおこなうといった調整が必要になります。加えて、業務時間外や休日など、パッチ適用に時間がかかったとしてもビジネスに支障をきたさないタイミングでの適用作業も検討すべきでしょう。

また、時折閉域網にある端末やスタンドアロン端末に対するパッチ管理を疎かにするケースも聞かれますが、油断は禁物です。
実際に、2022年に発生した大阪急性期・総合医療センターにおける大規模セキュリティ事故では、閉域網内の端末がランサムウェア被害に遭ってしまいました。

攻撃の起点となったのは協力会社のVPN機器の脆弱性でしたが、侵入した閉域網内のサーバーにウイルス対策ソフトがインストールされていなかっただけでなく、サポート切れの古いOSが使用され続けるといった脆弱性が放置されていたことなどから、大規模な横展開を許してしまったと言われています。

外部接続のない端末だからと安心せず、組織内にある全てのIT機器に対してパッチ適用をおこなうようにしましょう。

3.適用状況の確認

パッチを全社展開したあとは、適用漏れがないか一台一台確認します。
チェックリストによるチェックや動作確認などをおこない、対象の端末のパッチ適用が完了しているかどうかをきちんと把握しましょう。
万一漏れや不具合があれば、状況の確認と原因の究明、再度のパッチ適用などをおこないます。
対象端末に全てパッチが適用されていることを確認できたら、作業終了です。

パッチ管理では、以上の3ステップをパッチが公開されるたびに繰り返すこととなります。パッチ適用は一度実施すれば終わりというものではないため、継続的な対応が必要です。

パッチ管理のよくある課題

trend-windows-update_kadai.png

パッチ管理には継続的な対応が不可欠であるものの、あまりに頻繁に実施する必要があると、手作業での管理はなかなか現実的ではありません。

パッチ配信の頻度が高く、作業コストがかかる代表的なものと言えば「Windows OS」のパッチです。
「OSのパッチ適用は積極的におこなうべき」というのはよく言われる話ですが、最低でも月に一回更新されるパッチへ上述のような管理を逐一実施するとなると、IT担当者の作業負担は膨大なものとなってしまいます。

パッチ適用漏れによるセキュリティ事故が後を絶たないのも、こうしたリソース不足が原因で運用を十分におこなえていないという課題があるためです。

パッチ管理の自動化ツールを使おう

trend-windows-update_04.webp

運用におけるリソース不足という課題を解決するために開発されたのが、パッチ管理の工程を自動化する専用ツールです。
特にWindows OSパッチにおいては、有償・無償問わずさまざまなツールが公開されているため、自社にあったものを探してみるとよいでしょう。

参考までに、本項では主要な自動化ツールである「Windows Update」「WSUS」「IT資産管理ツール」についてご紹介します。

Windows Update

trend-windows-update_05.webp

Windows UpdateとWSUSは、どちらもMicrosoft社が提供している無償のWindowsパッチ管理ツールです。

Windows UpdateはWindows PC付属のシステムであり、搭載されている端末に対するOSのパッチ管理をおこなえます。Microsoft社のWebサイトにアクセスして配信されたパッチを自動で取得し、各端末へと適用することが主な機能です。

初期設定では「自動更新」となっているため、個別のPCに対して単にパッチをあてていくだけで構わない場合、特に設定変更をおこなう必要はありません。 また、パッチ更新やそれに伴う再起動を実施する日・時間帯についてもある程度制御可能です。 詳しい設定方法などは下記をご参照ください。

参考

WSUS

Windows Updateが個別の端末に対するパッチ管理をおこなえる一方、WSUSは複数台のパッチ管理に重きを置いた、いわゆる法人向けのツールです。

WSUSによる運用では、まずWSUSをインストールしたサーバー(WSUSサーバー)を社内ネットワークに設置します。それから、Microsoft社のWebサイトからダウンロードした最新パッチを一度WSUSサーバーで引き受けたのち、任意の端末に対して配信をおこなう仕組みです。よって、適用するパッチの取捨選択や適用タイミング、適用対象の端末などを管理者側で制御できることが大きな特徴となります。

ただし、WSUSは2024年9月にMicrosoftより廃止が発表されています。いますぐに利用できなくなるわけではありませんが、今後パッチ管理ツールの導入を検討する際には注意が必要です。

参考

IT資産管理ツール

trend-windows-update_06.webp

専用ツールではないものの、IT資産管理ツールでもWindows OSのパッチ管理は可能です。

IT資産管理ツールでおこなえるパッチ管理の概要はWSUSと同様ですが、違いとしてADと連携する代わりにIT資産管理ツールのエージェントなどを利用する点や、管理画面が比較的分かりやすく構成されている点などが挙げられます。
また、WSUSでは対応できないOffice関連製品のパッチ管理をおこなえるツールもあります。

さらに、Windows OSのバージョン情報以外にもウイルス対策ソフトのワクチンバージョン、インストールされているサードパーティー製ソフトウェアのバージョン情報まで確認できるものがほとんどであり、搭載機能によってはそれらのパッチ管理も可能です。したがって、Windows UpdateやWSUSよりも管理の汎用性は高いと言えるでしょう。

以上のことから、IT資産管理ツールはWindows OSのパッチ以外の適用管理をおこないたい場合に活用されるケースも多くなっています。

Windows Update・WSUSで管理するメリット/デメリット

trend-windows-update_07.webp

では、各ツールのメリット/デメリットにはどのようなものがあるのかを見ていきます。

Windows Updateのメリット

Windows Updateのメリットでは、「無料で使える」かつ「サーバーの準備といった環境整備が必要ない」という二点が挙げられます。
Windows PCに標準で搭載されている機能であるため、誰でも自由に利用でき、簡単にパッチ管理をはじめられます。

とりあえず全てのパッチを適用しておきたいという目的であれば、Windows Updateで十分でしょう。

Windows Updateのデメリット

しかし、組織の端末を一元管理するという意味では機能不足は否めません。

まずWindows Updateで運用する場合、パッチの適用を端末の利用者に一任することになるため、利用者のリテラシーによっては十分なパッチ適用がおこなわれない可能性があります。
加えて、管理者側でパッチ適用の進捗や適用状況を確認する際には、一台一台端末を見て回る必要があるため、組織の端末を一元管理するIT担当者にとっては大きな負担です。

それ以外にも、端末がそれぞれインターネット経由でMicrosoftからパッチをダウンロードしていくという仕様上、新しいパッチが配信されるたびにインターネット回線へ大きな負荷がかかってしまいます。端末の動作が重くなるなどの不具合が発生すれば、業務にも支障をきたしてしまうでしょう。

数十台以上の端末を管理するケースでは、Windows Updateでのパッチ管理にはさまざまな課題が残ってしまいます。

WSUSはすでに廃止が決定

WSUSに関しては、すでにMicrosoftより廃止が発表されており、今後いつ機能が停止されるかが不透明であるという大きなデメリットが存在します。

現時点で、Windows Server 2025を含むWindows Server環境からWSUSを削除する予定はないといわれています。またMicrosoftは既存のWSUS機能の動作保証やトラブル対応を引き続きおこなっていくとしているため、現在WSUSを運用している場合、当分の間は利用を継続できるでしょう。

しかしこれからパッチ管理ツールの導入を検討しているのであれば、いつ機能が停止されるかわからないサービスを選択することはおすすめできません。ツールを用いてのパッチ管理を希望する場合は、後述のIT資産管理ツールか、Microsoftが推奨しているMicrosoft Intuneなどのソリューションが推奨されます。

IT資産管理ツールで管理するメリット/デメリット

trend-windows-update_08.webp

では、IT資産管理ツールでのWindows パッチ管理にはどのようなメリット/デメリットがあるのでしょうか。

IT資産管理ツールのメリット

メリットの一つ目は、ツールとしての汎用性の高さです。
IT資産管理ツールには、パッチ管理機能のほかにも「インベントリ収集」「デバイス制限」「ログ取得」などさまざまな機能が搭載されているため、パッチ管理以外のIT運用業務に幅広く利用できます。

また、収集したインベントリ情報などを活用してOUよりもさらに細かくグループ分けをおこなうことも可能です。
OUは基本的に組織の部門構成に則って作成されることが多く、「特定のソフトウェアをインストールしている端末はパッチの配信対象外としたい」といったケースには不得手です。IT資産管理ツールであれば部門以外のさまざまな切り口でグルーピングできるため、WSUSよりも柔軟な配信設定をおこなえるようになっています。

そして、一部のIT資産管理製品ではOfficeのアップデートにも対応しています。
実は、WSUSはWindows OSのパッチのみを対象とした管理ツールであるため、他のMicrosoft社製品に関するパッチには対応していません。
このほか、製品によってはサードパーティー製のソフトウェアに対するパッチ管理機能を有しているものもあり、IT資産管理ツールを活用すればより広い範囲のパッチ管理をおこなえるようになります。

パッチ管理を含めた日々の業務の効率化を図れるため、IT資産管理ツールはIT担当者の全体的な負担軽減が期待できるソリューションです。

IT資産管理ツールのデメリット

IT資産管理ツールでの運用に対するデメリットは、有償ツールであるためコストがかかるという点です。

導入の際には、パッチ管理以外の要件も含めた課題をまとめ、どのIT資産管理ツールであればもっとも自社にとって費用対効果が高いものになるのかを検討する必要があります。
最近ではインターネットにしかつながっていない社外端末に対するパッチ管理機能など、時勢に沿ったサービスも提供されていますので、各社の機能などを見比べながら自社にあったツールを探すとよいでしょう。

パッチ管理を効率よくおこなうために

trend-windows-update_09.webp

パッチ管理は非常に重要なセキュリティ対策ですが、その運用には多大な人的リソースがかかります。

運用のハードルが高いことから、パッチ適用を現場の従業員に一任してしまっている組織も多く存在します。しかし、適用状況の差からセキュリティホールを生んでしまったり、業務中に更新がかかって作業が停滞してしまったり、最悪の場合サイバー攻撃により甚大な被害を受けたりといったリスクを考えると、そういった管理方法はあまり推奨されません。

パッチ管理においては、定められた管理者を設置したうえで、組織の端末全体をきちんとコントロールすることが求められます。
そのうえで、管理者の業務負担軽減・より確実な管理を目指すのであれば、手動管理ではなく自動化ツールの導入がおすすめです。

しかしながら本記事でご説明した通り、自動化ツールにはさまざまな種類が存在します。
自社の状況や担当者のリテラシー・リソースなどを鑑みつつ、それぞれのツールのメリット/デメリットも加味してツール選定をおこないましょう。

パッチ管理の効率化を実現するならSS1がおすすめ!

blogimg_ss1.webp

もし、Windowsのパッチ管理について「WSUSでの運用には不安がある」「パッチ管理以外にもIT運用業務における課題がある」と考えているのであれば、自動化ツールのなかでもIT資産管理ツールがもっとも適格です。

本記事を監修しているIT資産管理ツール「SS1」リンクアイコンであれば、WSUSの有無に関わらずWindows OSのパッチ取得から適用状況の確認までを効率的に運用できるようになります。

パッチ管理実施事例1:キャタピラー九州株式会社様

Windows大型アップデートの適用管理に「SS1」をお使いいただいている事例です。ネットワーク負荷軽減をおこないながらの配信管理によって、業務への影響を最小限に抑えた運用を実施されています。

cat_main.png

関連記事

パッチ管理実施事例2:株式会社モトックス様

株式会社モトックス様では、Office 365の更新管理などでSS1をご活用いただいています。そのほか、柔軟な配信グループの設定により、現場の状況にあったパッチ管理を実現されています。

モトックス 神野様

関連記事

このように、ディー・オー・エスが提供するIT資産管理ツール「SS1」リンクアイコンには、IT担当者に嬉しい多彩な機能が搭載されています。
またWSUSなしでの機能更新プログラムの配信やインターネット経由での配信なども対応可能です。

まとめ

trend-windows-update_matome.png

パッチ管理の目的や、効率的な実施方法について解説しました。

手動でのパッチ管理に限界を感じている場合は、専用ツールでの運用をおすすめします。ツールを選ぶ際は、パッチの動作検証をおこなってから全体展開をしたい・Officeの更新管理までおこないたいなど、自社で実施したい運用方法を鑑みて検討するとよいでしょう。

特にWSUSサーバー管理からの脱却やテレワーク端末へのパッチ管理をお考えであれば、IT資産管理ツール「SS1」リンクアイコンのご導入を検討いただけますと幸いです。

著者プロフィール
SS1LAB編集部
IT資産管理ツールSS1/SS1クラウドを開発・販売している、株式会社ディー・オー・エスの営業企画部メンバーで構成されています。IT資産管理・ログ管理・情報セキュリティ対策など、情シス業務の効率化に役立つ最新トレンド情報を随時発信中!