古くて新しいサーバー・パッチ管理

記事をシェアする:

さまざまな脆弱性を狙う標的型攻撃の増加に伴い、クライアントPCのパッチ管理については多くの企業で対策を講じられています。しかしサーバーとなるとまだExcelベースの管理台帳で手作業で運用という組織も多いのではないでしょうか。特に社内サーバーについては、必須パッチの適用も延び延びとなっていたり、場合によってはベンダー・サポート切れのOSやミドルウェアを使い続けていたり、、というケースも実際にお客様からお聞きしたことがあります。

なぜこのようなことが起きるのでしょう？一つにはやはり、直接インターネット接続されていない社内ネットワークは安全であるという思い込みがあるように思えます。しかし、昨年のWannaCryのキャンペーンでこれは幻想であることが明らかになりました。

またサーバーへのパッチ適用は、業務システムの稼働検証を行うことが前提となるため、システム単位で事前のコスト/工数確保が必要となります。直接的な機能拡張に繋がらないことからも、インターネット接続のないサーバーは優先順位が下がりがちになっていることも考えられます。

しかし、脆弱性を狙う攻撃には情報詐取だけでなく、ランサムウェアのような業務停止につながるものもあります。先に述べたように社内ネットワークであれば安全という考えはすでに時代遅れと言わざるを得ません。重要なサーバーだけでなく、攻撃の踏み台とされないために、全サーバーに対しても計画的なパッチ適用が必須です。

WannaCryのキャンペーンが大きく報道された時、各サーバーの管理者にメールで問い合わせるなど、構成情報収集に多くの時間と工数をかけたIT部門担当者も少なくなかったようです。それだけの負担がありながら、収集された情報は各サーバー管理者のスキル・レベルに依存するため必ずしも正確ではなかったというお話もお聞きしました。今後もこの種のリスクはどの組織でも等しく存在し続けます。万一のインシデント発生時に一時的なサービス停止含めて的確に判断できるよう、日頃からのパッチ適用状況の可視化が重要です。またサポート切れに対応するための予算化にも、信頼のおける構成情報は欠かせません。

このような仕組みを支えるソリューションとしてIBMではIBM BigFixをご提供しています。IBM BigFixはWindowsだけでなくLinux、マルチベンダーUNIXに対応し、パッチ適用状況ふくめた構成情報収集、ハードニング・ポリシーの自動適用、脆弱性情報の収集を自動化します。

図１：IBM BigFix によるサーバー・パッチ管理

またIBM BigFixではパッチ適用を自動化するfixletと呼ばれる定義体がIBMから提供されており、各サーバー管理者が個別にベンダー・サイトをチェックし、パッチをダウンロードする手間を省くことができます。fixletはOSだけでなく、一部プラットフォームのIBM Db2および IBM WebSphereにも対応しており、各サーバー管理者はIBM BigFixのコンソールで自身が担当するサーバーに適用すべきパッチを一覧表示し、サーバー管理者のタイミングで適用することも可能です。

図２：IBM BigFix管理コンソールからのパッチ適用

クライアントPCを対象とした構成管理/パッチ配布ソリューションは数多くさまざまなベンダーから出荷されていますが、IBM BigFixはクライアントだけでなくサーバー含めて一元管理できるソリューションです。IBM社内だけでなく、アウトソーシングでお預かりしているサーバー、またIBMソフトウェアのライセンス管理ツールであるIBM License Metric Toolのエンジンとしても使われています。業界随一の運用実績から重要サーバーにも安心して展開いただけます。

IBM BigFixは独自の自律型エージェントにより、常に最新の構成情報をエージェント主導で収集可能です。アーキテクチャ上の優位性についてはこちらのリンクを参照ください。

とかく各管理者任せになりがちなサーバーのパッチ管理を一元化し、ガバナンスを効かせるだけでなく、サーバー管理者への情報提供と容易なパッチ適用のための基盤を提供することで運用工数を最適化。終わることのないパッチ管理を支える仕組みとして、IBM BigFix が万一のインシデント発生時の対応を容易にしてくれます。