SS1製品サイトパッチ管理のやり方とは?社内PCを効率よく管理する方法を解説
2024年1月24日、社会的な影響度に応じてIPA(独立行政法人情報処理推進機構)が毎年発表している「情報セキュリティ10大脅威」の2024年版が公開されました。
本調査では、組織に対する脅威として「ランサムウェアによる被害」「サプライチェーンの弱点を悪用した攻撃」「標的型攻撃による機密情報の窃取」などが上位ランクインしていますが、実はこれらの脅威にはある共通点が存在します。
それは、ソフトウェアやOSの脆弱性を糸口として攻撃を仕掛けているという点です。
そしてIPAでは、このような攻撃に対する基本的な対策の一つとして、ソフトウェアの更新──つまり「パッチ適用」を掲げています。
今回は、パッチ適用をコントロールする「パッチ管理」の概要と、パッチ管理の中でも特にメジャーなWindows OSに対する管理について、各手法の解説やおすすめの管理方法をご紹介します。
Windows UpdateやWSUS、IT資産管理ツールでの管理におけるメリット・デメリットも解説しますので、Windows OSのパッチ管理でお悩みの方はぜひ最後までご覧ください。
・パッチ管理の目的と重要性
・パッチ管理方法
・パッチ管理の自動化ツールを使おう
・Windows Update
・WSUS
・IT資産管理ツール
・Windows Update・WSUSで管理するメリット/デメリット
・IT資産管理ツールで管理するメリット/デメリット
・パッチ管理を効率よくおこなうために
・パッチ管理ならIT資産管理ツールSS1がおすすめ!
パッチ管理とは?
パッチ管理とは、OSやソフトウェアに対するパッチ適用を管理者側で制御するプロセスを指します。
もう少しかみ砕いて言えば、OSやソフトウェアに生じた脆弱性(バグ)に対し、必要に応じて修正用のプログラムを計画的に上書きしていくことです。
ハードウェア、OS、ファームウェア、アプリケーションなど、パッチ適用の対象は多岐にわたります。
加えて、それぞれのパッチには「パフォーマンス向上のための機能改善」から「新たな脅威に対する脆弱性対策」などが含まれており、その重要度には一定のランクが存在します。
例えばWindows OSに対するパッチには、日々開発される新機能の配信から、脆弱性対策のためのセキュリティアップデート、Windows PC付属のウイルス対策ソフトであるMicrosoft Defenderの定義ファイル更新まで、あらゆる内容が含まれています。
これらのパッチは、基本的に全て適用することが望ましいとされています。しかし、実際にはさまざまな理由で全適用が難しいケースもあるようです。
とはいえ、組織のセキュリティ体制を構築する上では、脆弱性対策としてのパッチ適用をおこなわないわけにはいきません。よって、パッチ適用における問題点をうまく処理しつつ脆弱性対策をおこなうという点において、「パッチ管理」の実施は必要不可欠なのです。
パッチ管理の目的と重要性
前項で「パッチ管理」の概要について述べましたが、改めてその目的や重要性について掘り下げていきましょう。
パッチ管理の目的は、主に下記の2点に集約されます。
セキュリティリスクへの確実な対応
特にセキュリティに関するパッチをあてずにいた場合、組織のセキュリティ体制に対する脆弱性を放置していることになりますので、深刻なセキュリティリスクを抱えることとなります。
そのようなセキュリティホールを生まないためにも、組織内にあるすべてのIT機器のパッチ適用状況を集約し、明確に定められた担当者のもとにきちんとした管理をおこなうことは大変重要です。
パッチ適用を端末の利用者に一任するなどして管理を怠ってしまうと、各端末でパッチ適用状況の格差が生まれてしまったり、共用PCといった明確な利用者が存在しない端末のパッチ適用が放置されてしまったりと、多くの問題が発生してしまいます。
パッチ適用の担当者を定め、一元的な管理・運用をおこなうことで、確実なリスク対処が可能になるのです。
ビジネスへの影響を回避
多くの場合、パッチ適用には数分から数時間ほどの時間がかかります。もし就業時間内にパッチ適用をおこない、その間端末を操作できなくなってしまうと、業務に支障をきたす恐れがあるでしょう。
また、パッチによっては使用しているOSや既存のシステムとの間に不具合を起こすことも想定されます。影響が広範囲に及んでしまえば、全社的な業務停止に追い込まれ、ビジネスの継続性すら危ぶまれることにもなりかねません。前項で「さまざまな理由でパッチを全て適用できない場合がある」と述べたのは、こういったケースが存在するからです。
ビジネスへの影響を最小限にするためには、パッチ適用時間のコントロールや適用前の動作確認が必要になります。
これも、パッチ管理をおこなう目的の一つです。
パッチ管理の方法
では、パッチ管理とは具体的にどのようにおこなうものなのでしょうか。
ここでは、一般的なパッチ管理の運用サイクルをご紹介します。
1.最新パッチ・脆弱性情報の収集
ソフトウェアベンダーなどのサービス提供元から公開されている、最新のパッチや脆弱性に関する情報を確認し、組織内にあるIT機器のバージョン情報と見比べます。
これには、ベンダーからの情報を逃さずに把握するのはもちろんのこと、日頃からIT機器に関する台帳の作成・最新情報への更新をおこなっておく必要があります。
ちなみに、導入しているソフトウェアなどについては「SBOM(Software Bill of Materials)」を作成しておくと安心です。
SBOMの詳細や脆弱性対策における必要性については、下記の記事をご参照ください。
【参考】ソフトウェアの脆弱性管理に役立つ「SBOM」を知ろう!
2.パッチの適用
パッチを発見したら、該当機器への適用をおこないます。
既存システムとの不具合が懸念される場合は、事前にテスト用の端末でパッチ適用をおこなったあと、一定の期間を空けて全社展開をおこなうといった調整が必要になります。加えて、業務時間外や休日など、パッチ適用に時間がかかったとしてもビジネスに支障をきたさないタイミングでの適用作業も検討すべきでしょう。
また、時折閉域網にある端末やスタンドアロン端末に対するパッチ管理を疎かにするケースも聞かれますが、油断は禁物です。
実際に、2022年に発生した大阪急性期・総合医療センターにおける大規模セキュリティ事故では、閉域網内の端末がランサムウェア被害に遭ってしまいました。
攻撃の起点となったのは協力会社のVPN機器の脆弱性でしたが、侵入した閉域網内のサーバーにウイルス対策ソフトがインストールされていなかっただけでなく、サポート切れの古いOSが使用され続けるといった脆弱性が放置されていたことなどから、大規模な横展開を許してしまったと言われています。
外部接続のない端末だからと安心せず、組織内にある全てのIT機器に対してパッチ適用をおこなうようにしましょう。
3.適用状況の確認
パッチを全社展開したあとは、適用漏れがないか一台一台確認します。
チェックリストによるチェックや動作確認などをおこない、対象の端末のパッチ適用が完了しているかどうかをきちんと把握しましょう。
万一漏れや不具合があれば、状況の確認と原因の究明、再度のパッチ適用などをおこないます。
対象端末に全てパッチが適用されていることを確認できたら、作業終了です。
パッチ管理では、以上の3ステップをパッチが公開されるたびに繰り返すこととなります。パッチ適用は一度実施すれば終わりというものではないため、継続的な対応が必要です。
パッチ管理の自動化ツールを使おう
パッチ管理には継続的な対応が必要とは言うものの、あまりに頻繁に実施しなければならないとなると、手作業での管理はなかなか現実的ではありません。
パッチ配信の頻度が高く、作業コストがかかる代表的なものと言えば「Windows OS」のパッチです。
Windowsのパッチは、月に一回の「品質更新プログラム」と年に1-2回の「機能更新プログラム」に分けられます。
Windowsは利用ユーザーの多さからサイバー攻撃の被害に遭いやすいため、OSのパッチ適用は積極的におこなうようMicrosoft側も度々提唱しています。しかし、最低でも月に一回は更新されるパッチへ手作業で対応するとなると、IT担当者の負担は計り知れません。
このような事情から、Windows OSには煩雑なパッチ管理を自動化するツールが多数存在しています。
ここからは、主要な自動化ツールである「Windows Update」「WSUS」「IT資産管理ツール」についてご紹介します。
Windows Update・WSUS
Windows UpdateとWSUSは、どちらもMicrosoft社が提供している無償のWindows パッチ管理ツールです。
Windows UpdateはWindows PC付属のシステムであり、搭載されている端末に対するOSのパッチ管理をおこなえます。Microsoft社のWebサイトにアクセスして配信されたパッチを自動で取得し、各端末へと適用することが主な機能です。
初期設定では「自動更新」となっているため、個別のPCに対して単にパッチをあてていくだけで構わない場合、特に設定変更をおこなう必要はありません。
また、パッチ更新やそれに伴う再起動を実施する日・時間帯についてもある程度制御可能です。
詳しい設定方法などは下記をご参照ください。
【参考】Windowsで更新プログラムを管理する
【参考】Windowsでアクティブな時間を使用してPCから離れたときに更新プログラムを取得する
Windows Updateが個別の端末に対するパッチ管理をおこなえる一方、WSUSは複数台のパッチ管理に重きを置いた、いわゆる法人向けのツールです。
WSUS(Windows Server Update Services)による運用では、まずWSUSをインストールしたサーバー(WSUSサーバー)を社内ネットワークに設置する必要があります。それから、Microsoft社のWebサイトからダウンロードした最新パッチを一度WSUSサーバーで引き受けたのち、任意の端末に対して配信をおこなう仕組みです。よって、適用するパッチの取捨選択や適用タイミング、適用対象の端末などを管理者側で制御できることが大きな特徴となります。
適用対象とタイミングのコントロールをかけ合わせることで、まずはテスト用端末数台にパッチを適用したあと、動作確認をおこなってから全社に展開するといった段階的な配信も可能です。
それぞれの端末のパッチ適用状況も管理画面上で確認できるので、適用漏れなども防げます。
ちなみに、WSUSによるパッチ管理は「Active Directory(以下AD、Microsoft社製のディレクトリサービス)」との連携によって実現されます。WSUSを活用するときは、ADの運用もセットになると覚えておきましょう。
IT資産管理ツール
専用ツールではないものの、IT資産管理ツールでもWindows OSのパッチ管理は可能です。
IT資産管理ツールでおこなえるパッチ管理の概要はWSUSと同様ですが、違いとしてADと連携する代わりにIT資産管理ツールのエージェントなどを利用する点や、管理画面が比較的分かりやすく構成されている点などが挙げられます。
また、WSUSでは対応できないOffice関連製品のパッチ管理をおこなえるツールもあります。
さらに、Windows OSのバージョン情報以外にもウイルス対策ソフトのワクチンバージョン、インストールされているサードパーティー製ソフトウェアのバージョン情報まで確認できるものがほとんどであり、搭載機能によってはそれらのパッチ管理も可能です。したがって、Windows UpdateやWSUSよりも管理の汎用性は高いと言えるでしょう。
以上のことから、IT資産管理ツールはWindows OSのパッチ以外の適用管理をおこないたい場合に活用されるケースも多くなっています。
Windows Update・WSUSで管理するメリット/デメリット
では、各ツールのメリット/デメリットにはどのようなものがあるのかを見ていきます。
まずは、Windows UpdateおよびWSUSのメリットについてご紹介します。
Windows Updateのメリット
Windows Updateのメリットでは、「無料で使える」かつ「サーバーの準備といった環境整備が必要ない」という二点が挙げられます。
Windows PCに標準で搭載されている機能であるため、誰でも自由に利用でき、簡単にパッチ管理をはじめられます。
とりあえず全てのパッチを適用しておきたいという目的であれば、Windows Updateで十分でしょう。
Windows Updateのデメリット
しかし、組織の端末を一元管理するという意味では機能不足は否めません。
まずWindows Updateで運用する場合、パッチの適用を端末の利用者に一任することになるため、利用者のリテラシーによっては十分なパッチ適用がおこなわれない可能性があります。
加えて、管理者側でパッチ適用の進捗や適用状況を確認する際には、一台一台端末を見て回る必要があるため、組織の端末を一元管理するIT担当者にとっては大きな負担です。
それ以外にも、端末がそれぞれインターネット経由でMicrosoftからパッチをダウンロードしていくという仕様上、新しいパッチが配信されるたびにインターネット回線へ大きな負荷がかかってしまいます。端末の動作が重くなるなどの不具合が発生すれば、業務にも支障をきたしてしまうでしょう。
数十台以上の端末を管理するケースでは、Windows Updateでのパッチ管理にはさまざまな課題が残ってしまいます。
WSUSのメリット
Windows Updateと同じく無償で使えながら、組織でのWindows パッチ管理を効率化できることがWSUSのメリットです。
WSUSでは事前に取得したMicrosoftからの最新パッチの情報を確認したうえで、ADのOU(Organizational Unit:組織単位)と呼ばれるグループごとに「いつ」「どのパッチを配信するか」を決定できます。その過程で、組織のシステムに関する不具合が危惧されるようなパッチ配信を止めたり、動作確認をおこなうための段階配信を設定したりといったことも可能です。
また、一度WSUSサーバーへとパッチをダウンロードしたあとに各端末へ配信することには、インターネット回線の圧迫を防ぐ効果もあります。
よって、WSUSの運用を正確におこなえるのであれば、Windows Updateにおける組織でのパッチ管理のデメリットはおおむね解消されると考えられます。
WSUSのデメリット
とはいえ、WSUSにもデメリットがないわけではありません。
IT担当者の間でよく話題となるのは、画面の難しさからくる管理業務の煩雑さです。
Microsoft社製のツール特有の単語や画面の操作性に対する"慣れ"がない限り、WSUSの管理画面をうまく使いこなして管理をおこなうのはなかなか難しいと言われています。
そして、Active Directoryが実質必須であるという点も管理の難しさに拍車をかけています。
WSUSを導入するためにまずはADを導入し、そのセットアップをおこなって...となると、肝心のパッチ管理ができる環境を整えるまでに相当な時間を要してしまうでしょう。
またWSUSの利用自体は無料ですが、WSUSサーバーを利用する際は別途Windows Serverライセンスなどが必要となり、これはもちろん有償となってしまう点にも注意が必要です。
WSUSの運用は、WSUS以外のツールの知識や機能への習熟が必要となるため一筋縄ではいきません。
導入の際は、これらのメリット/デメリットを踏まえたうえで検討しましょう。
IT資産管理ツールで管理するメリット/デメリット
では、IT資産管理ツールでのWindows パッチ管理にはどのようなメリット/デメリットがあるのでしょうか。
IT資産管理ツールのメリット
メリットの一つ目は、ツールとしての汎用性の高さです。
IT資産管理ツールには、パッチ管理機能のほかにも「インベントリ収集」「デバイス制限」「ログ取得」などさまざまな機能が搭載されているため、パッチ管理以外のIT運用業務に幅広く利用できます。
また、収集したインベントリ情報などを活用してOUよりもさらに細かくグループ分けをおこなうことも可能です。
OUは基本的に組織の部門構成に則って作成されることが多く、「特定のソフトウェアをインストールしている端末はパッチの配信対象外としたい」といったケースには不得手です。IT資産管理ツールであれば部門以外のさまざまな切り口でグルーピングできるため、WSUSよりも柔軟な配信設定をおこなえるようになっています。
そして、一部のIT資産管理製品ではOfficeのアップデートにも対応しています。
実は、WSUSはWindows OSのパッチのみを対象とした管理ツールであるため、他のMicrosoft社製品に関するパッチには対応していません。
このほか、製品によってはサードパーティー製のソフトウェアに対するパッチ管理機能を有しているものもあり、IT資産管理ツールを活用すればより広い範囲のパッチ管理をおこなえるようになります。
パッチ管理を含めた日々の業務の効率化を図れるため、IT資産管理ツールはIT担当者の全体的な負担軽減が期待できるソリューションです。
IT資産管理ツールのデメリット
IT資産管理ツールでの運用に対するデメリットは、有償ツールであるためコストがかかるという点です。
導入の際には、パッチ管理以外の要件も含めた課題をまとめ、どのIT資産管理ツールであればもっとも自社にとって費用対効果が高いものになるのかを検討する必要があります。
最近ではインターネットにしかつながっていない社外端末に対するパッチ管理機能など、時勢に沿ったサービスも提供されていますので、各社の機能などを見比べながら自社にあったツールを探すとよいでしょう。
パッチ管理を効率よくおこなうために
パッチ管理は非常に重要なセキュリティ対策ですが、その運用には多大な人的リソースがかかります。
運用のハードルが高いことから、パッチ適用を現場の従業員に一任してしまっている組織も多く存在します。しかし、適用状況の差からセキュリティホールを生んでしまったり、業務中に更新がかかって作業が停滞してしまったり、最悪の場合サイバー攻撃により甚大な被害を受けたりといったリスクを考えると、そういった管理方法はあまり推奨されません。
パッチ管理においては、定められた管理者を設置したうえで、組織の端末全体をきちんとコントロールすることが求められます。
そのうえで、管理者の業務負担軽減・より確実な管理を目指すのであれば、手動管理ではなく自動化ツールの導入がおすすめです。
しかしながら本記事でご説明した通り、自動化ツールにはさまざまな種類が存在します。
自社の状況や担当者のリテラシー・リソースなどを鑑みつつ、それぞれのツールのメリット/デメリットも加味してツール選定をおこないましょう。
パッチ管理の効率化を実現するならSS1がおすすめ!
もし、Windowsのパッチ管理について「WSUSでの運用には不安がある」「パッチ管理以外にもIT運用業務における課題がある」と考えているのであれば、自動化ツールのなかでもIT資産管理ツールがもっとも適格です。
ディー・オー・エスが提供するIT資産管理ツール「SS1」には、使いやすい管理画面と柔軟な配信設定やOffice製品へのパッチ管理対応など、IT担当者に嬉しい多彩な機能が搭載されています。
またWSUSなしでの機能更新プログラムの配信やインターネット経由での配信なども対応可能です。
WSUSサーバー管理からの脱却やテレワーク端末へのパッチ管理をお考えであれば、ぜひ下記フォームよりお問い合わせください。
●SS1に関するお問い合わせはこちら
●SS1「更新プログラム管理」機能についてはこちら
●SS1「インターネットFU配信」機能についてはこちら
SS1LAB編集部IT資産管理ツールSS1/SS1クラウドを開発・販売している、株式会社ディー・オー・エスの営業企画部メンバーで構成されています。IT資産管理・ログ管理・情報セキュリティ対策など、情シス業務の効率化に役立つ最新トレンド情報を随時発信中!
SS1LAB編集部IT資産管理ツールSS1/SS1クラウドを開発・販売している、株式会社ディー・オー・エスの営業企画部メンバーで構成されています。IT資産管理・ログ管理・情報セキュリティ対策など、情シス業務の効率化に役立つ最新トレンド情報を随時発信中!
