「迅速なパッチ適用」を妨げる事業部門パッチ適用を巡る諸問題【前編】

各種ソフトウェアのパッチを適用することはセキュリティリスクを低減させるが、システムが稼働しなくなるというリスクを内包している。技術的な課題を解決したIT部門は、さらに事業部門との問題も解決しなければならない。

2021年02月25日 08時00分 公開
[Peter Ray AllisonComputer Weekly]

 毎月第2火曜日は「Patch Tuesday(パッチ火曜日)」として、Microsoftなどの多くの企業がパッチをリリースする。ただしパッチをテストせずに運用環境にインストールすると、特に特注のソフトウェアを使っている場合は互換性の問題が生じる恐れがある。運用システムへのパッチの適用は難しい。パッチの適用は技術的な事柄だが、業務上の考慮事項でもある。

 パッチを正しく適用するプロセスは迅速にはいかない。セキュリティと安定性を確保するため、パッチの提供元を確認し、パッチのリリースノートを読んで、パッチの重要性を判断し、リスクを評価してからパッチを徹底的にテストする必要がある。それからシステムのスナップショットを取って、パッチをアップロードする。

 エンドユーザー企業でリードセキュリティアーキテクトを務めるデイブ・リア氏は次のように話す。「アップデートする前に、それが機能することを確実に保証する必要がある。そのためには、特定のデプロイメントでの厳格なテストと疑いの余地のないストレステストを実施しなくてはならない。そうすれば『パッチをうまくデプロイできた』と言えるだろう」

 定期アップデートに加え、重大な脆弱(ぜいじゃく)性に対する緊急パッチもある。緊急パッチは確認、テスト、アップロードを短時間で行う必要がある。

 パッチの適用には時間、費用、リソースを要する。これを考慮しないと予想外の損失につながる恐れがある。パッチの適用やアップグレードにかかる時間とコストを考慮しなかったため、レガシーシステムを使い続けることになった組織もある。こうした組織は、5年後のリプレースに備えて確保した予算をパッチ適用に使ってしまう場合が多い。

 「特に公共部門の組織は『Windows XP』からアップグレードできないでいる。システムのライフサイクル管理の長期予算を考慮していなかったためだ」と語るのは、Advent IMでディレクターを務めるマイク・ギレスピー氏だ。

事業部門との葛藤

 顧客と接するシステムにパッチを適用することは、パッチを必須と考えるIT部門とシステムを常時稼働状態にしておきたい事業部門の主導権争いになる。システムアップデートスケジュールの設定は、慎重な内部交渉が求められるケースになる。ここで必要になるのがリスク評価だ。リスク評価によって、アップデートを遅らせることで生じる恐れのある危険性を伝える。

 「これまで関与してきたIT部門に限って言えば、システムにパッチを適用したいセキュリティ担当者と、24時間年中無休でシステムを稼働させておきたい事業部門との間に緊張関係があった。ほとんどの場合、年中無休で完全に機能できるシステムはない。事業部門はダウンタイムがあることを認識し、それを考慮して適切な対応をしなければならない」(ギレスピー氏)

 システムが重要なインフラの一部として常時稼働する必要がある場合、複数のシステムを並列に運用するという方法がある。これは冗長性の確保としても機能する。

 特にコアシステムの場合、事業継続性を維持するにはパッチのテストが不可欠だ。通常はサンドボックス内にあるシステムのレプリカでテストを実施する。これにより開発チームはパッチの適用プロセスの予行演習を行い、安定性を確保するためにシステムを徹底的にテストできる。

 「運用システムとテストシステムが全く同じになることはない。テストシステムは閉鎖されており、外部には接続されない。こうした重要な違いは常にある。テストシステムにダミーシステムを配置して、インターネット接続をサポートしてサーバと対話させることは可能だ」(リア氏)

 当然、これには多大な時間とリソースの負担を伴う可能性がある。このようなテストを実行する費用に応じたリソースを確保する必要があるだけでなく、適切な経験を有するスタッフもいなければならない。これを怠ると、パッチによってシステム障害が起きるなど、重大なリスクにさらされる恐れがある。

後編では、自動化を巡る勘違いとテスト戦略について解説する。

Copyright © ITmedia, Inc. All Rights Reserved.

隴�スー騾ケツ€郢晏ク厥。郢ァ�、郢晏現�ス郢晢スシ郢昜サ」�ス

市場調査・トレンド SUSE ソフトウエア ソリューションズ ジャパン株式会社

ベンダー依存から脱却、柔軟かつ統合的なLinux環境を構築する方法とは?

エンタープライズ向け技術は、Linuxを中核に据え、オープンソースで動作しているものが多い。しかし近年、一部のベンダーが契約による囲い込みを強めており、ベンダーロックインのリスクが高まっている。安定したLinux運用を実現するには?

製品資料 株式会社野村総合研究所

運用効率化に欠かせないITSMツール、ノンカスタマイズが正解とは限らない?

ITサービスへの要求は年々増大しており、その対応を手作業でカバーするには限界がある。そこで導入されるのがITSMツールだが、特に自動化機能には注意が必要だ。自社に適した運用自動化や作業効率化を実現できるのか、しっかり吟味したい。

製品レビュー 株式会社クレオ

現場でカスタマイズ可能なITシステム、コストと時間をかけずに実現する方法とは

業務効率を高めて生産性を向上させるために、多くの企業がITシステムの導入を進めている。しかし、自社の業務に合わないITシステムを導入してしまっては、逆に生産性が低下する可能性も高い。この問題をどう解決すればよいのだろうか。

製品レビュー グーグル合同会社

重要なエンドポイントを守る、Chromeブラウザを企業向けに安全性を強化する方法

世界中で広く利用されているChromeブラウザは、業務における重要なエンドポイントとなっているため、強固なセキュリティが必要となる。そこでChromeブラウザを起点に、企業が安全にWebへのアクセスポイントを確立する方法を紹介する。

製品資料 グーグル合同会社

Chromeの拡張機能:企業における今求められる管理戦略とは

Google Chromeの拡張機能は生産性の向上に不可欠な機能であり、ユーザーが独自にインストールできる一方、IT管理者を悩ませている。ユーザーデータを保護するためにも、効率的な運用・監視が求められるが、どのように実現すればよいのか。

郢晏生ホヲ郢敖€郢晢スシ郢ァ�ウ郢晢スウ郢晢ソスホヲ郢晢ソスPR

From Informa TechTarget

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。

郢ァ�「郢ァ�ッ郢ァ�サ郢ァ�ケ郢晢スゥ郢晢スウ郢ァ�ュ郢晢スウ郢ァ�ー

2025/05/08 UPDATE

  1. 邵コ繧�ス狗クコ�ッ邵コ螢ケ�ス邵コ�ェ邵コ�スツ€遒√鎖豼カ�ッPC邵イ髦ェ�帝♂�セ陷€�ス繝ュ郢晢ソス繝ィ郢晢スッ郢晢スシ郢ァ�ッ邵コ荵晢ス臥クコ繧�ソス郢ァ髮�ソス邵コ蜷ョツ€諛奇シ�ケァ蠕娯味邵コ莉」�ス隴�スケ雎戊」慊€�ス
  2. Windows隴画€懈差陋ケ謔カツ€豐妬tLocker邵イ讎奇ソス鬮「ツ€邵イツ€郢晢スュ郢晢ソス縺鷹囓�」鬮ッ�、邵コ�ォ隹コ�ス邵コ荵昶雷邵コ�ェ邵コ�ス螻楢�包スゥ郢ァ�ュ郢晢スシ邵コ�ッ邵コ�ゥ邵コ�ス譯カ邵コ�ス�シ�ス
  3. 邵イ菫Jndows 11邵イ蜥イ�ァ�サ髯ヲ蠕娯�隴蛾斡蟲�ケァ繧�€ツ€PC陝カ繧�ソス�エ郢ァ蜻域亊郢ァ荵昶€イ邵コ蜷ョツ€諞コ譛ェ驕槫シア�ス髯ヲ譎�幻遯カ�ス
  4. 邵イ菫Jndows邵イ髦ェ�スISO郢晁シ斐<郢ァ�、郢晢スォ郢ァ雋橸ソス隰�ケ昴€堤クコ髦ェ�狗ェカ諛尉崎棔謔カ竊鷹お迹夲スキ�ッ遯カ譏エ竊堤クコ�ッ�ス�ス
  5. Windows邵イ蠕。�ソ�ョ陟包スゥ郢ァ�、郢晢スウ郢ァ�ケ郢晏現�ス郢晢スォ邵イ髦ェツ€蠕後¢郢晢スェ郢晢スシ郢晢スウ郢ァ�、郢晢スウ郢ァ�ケ郢晏現�ス郢晢スォ邵イ髦ェ�ス鬩戊シ費シ樒クコ�ィ郢晏現ホ帷ケ晄じホ晁汞�セ陷�スヲ雎包ソス
  6. 邵コ繧�夢邵コ�ヲ邵コ�ッ邵コ�ェ郢ァ蟲ィ竊醍クコ�スツ€譴ァ謔エ隰�スソ髫ア髦ェ�スPC邵イ髦ェ窶イ驕会スセ陷€�ス繝ュ郢晢ソス繝ィ郢晢スッ郢晢スシ郢ァ�ッ邵コ�ォ驍丞ク呻ス碁恷�シ郢ァツ€遯カ諛茨シ�ケァ髦ェ��邵コ�ス轤企€包スア遯カ�ス
  7. Windows邵コ迹夲スオ�キ陷崎シ費シ�邵コ�ェ邵コ�ス�ス�エ陷キ蛹サ竊鍋ケァ繧�スス�ケ驕カ荵昶命陜玲ァォ�セ�ゥ霑コ�ー陟�ソスツ€菫JnRE邵イ髦ェ竊堤クコ�ッ�ス�ス
  8. 邵コ�ス竏ェ邵コ霈費ス蛾蜜讒ュ��邵コ�ェ邵コ�スツ€豐妬tLocker邵イ髦ェ�ス闔画��オ�ス竏ゥ邵コ�ィ隶匁コッ�ス邵イツ€Windows郢ァ雋橸スョ蛹サ�玖ュ画€懈差陋ケ謔カ竊堤クコ�ッ�ス�ス
  9. 邵イ遯櫑 PC邵イ髦ェ�帝囎遏ゥ蜑樒ケァ荵晢ソス邵コ�ッ邵コ�セ邵コ�ス隴鯉スゥ邵コ�ス�シ貅伉€ツ€雎ャ�ョ闕ウ鄙ォ笘�ケァ驫€ツ€諛域た陷サ�ス邵コ�ョ闖エ�ソ邵コ�ス��ェカ�ス
  10. 2.4陷�ソス蠎顔クコ蠕個€遒∝エ戊氛闊鯉シ�クコ�ソ邵イ髦ェ竊難ソス貅伉€ツ€PC邵コ�ョ髮具スキ邵コ�ス蟠帷クコ蛹サ窶イ鬨セ�イ郢ァツ€遯カ諛翫&郢晢スュ郢晞。秘浹鬮エツ€遯カ譏エ笆。邵コ莉」縲堤クコ�ッ邵コ�ェ邵コ�ス�コ蛹コ繝・

「迅速なパッチ適用」を妨げる事業部門:パッチ適用を巡る諸問題【前編】 - TechTargetジャパン システム運用管理 隴�スー騾ケツ€髫ェ蛟�スコ�ス

TechTarget郢ァ�ク郢晢ス」郢昜サ」ホヲ 隴�スー騾ケツ€髫ェ蛟�スコ�ス

ITmedia マーケティング新着記事

news025.png

「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。

news014.png

「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。

news046.png

「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。