各種ソフトウェアのパッチを適用することはセキュリティリスクを低減させるが、システムが稼働しなくなるというリスクを内包している。技術的な課題を解決したIT部門は、さらに事業部門との問題も解決しなければならない。
毎月第2火曜日は「Patch Tuesday(パッチ火曜日)」として、Microsoftなどの多くの企業がパッチをリリースする。ただしパッチをテストせずに運用環境にインストールすると、特に特注のソフトウェアを使っている場合は互換性の問題が生じる恐れがある。運用システムへのパッチの適用は難しい。パッチの適用は技術的な事柄だが、業務上の考慮事項でもある。
パッチを正しく適用するプロセスは迅速にはいかない。セキュリティと安定性を確保するため、パッチの提供元を確認し、パッチのリリースノートを読んで、パッチの重要性を判断し、リスクを評価してからパッチを徹底的にテストする必要がある。それからシステムのスナップショットを取って、パッチをアップロードする。
エンドユーザー企業でリードセキュリティアーキテクトを務めるデイブ・リア氏は次のように話す。「アップデートする前に、それが機能することを確実に保証する必要がある。そのためには、特定のデプロイメントでの厳格なテストと疑いの余地のないストレステストを実施しなくてはならない。そうすれば『パッチをうまくデプロイできた』と言えるだろう」
定期アップデートに加え、重大な脆弱(ぜいじゃく)性に対する緊急パッチもある。緊急パッチは確認、テスト、アップロードを短時間で行う必要がある。
パッチの適用には時間、費用、リソースを要する。これを考慮しないと予想外の損失につながる恐れがある。パッチの適用やアップグレードにかかる時間とコストを考慮しなかったため、レガシーシステムを使い続けることになった組織もある。こうした組織は、5年後のリプレースに備えて確保した予算をパッチ適用に使ってしまう場合が多い。
「特に公共部門の組織は『Windows XP』からアップグレードできないでいる。システムのライフサイクル管理の長期予算を考慮していなかったためだ」と語るのは、Advent IMでディレクターを務めるマイク・ギレスピー氏だ。
顧客と接するシステムにパッチを適用することは、パッチを必須と考えるIT部門とシステムを常時稼働状態にしておきたい事業部門の主導権争いになる。システムアップデートスケジュールの設定は、慎重な内部交渉が求められるケースになる。ここで必要になるのがリスク評価だ。リスク評価によって、アップデートを遅らせることで生じる恐れのある危険性を伝える。
「これまで関与してきたIT部門に限って言えば、システムにパッチを適用したいセキュリティ担当者と、24時間年中無休でシステムを稼働させておきたい事業部門との間に緊張関係があった。ほとんどの場合、年中無休で完全に機能できるシステムはない。事業部門はダウンタイムがあることを認識し、それを考慮して適切な対応をしなければならない」(ギレスピー氏)
システムが重要なインフラの一部として常時稼働する必要がある場合、複数のシステムを並列に運用するという方法がある。これは冗長性の確保としても機能する。
特にコアシステムの場合、事業継続性を維持するにはパッチのテストが不可欠だ。通常はサンドボックス内にあるシステムのレプリカでテストを実施する。これにより開発チームはパッチの適用プロセスの予行演習を行い、安定性を確保するためにシステムを徹底的にテストできる。
「運用システムとテストシステムが全く同じになることはない。テストシステムは閉鎖されており、外部には接続されない。こうした重要な違いは常にある。テストシステムにダミーシステムを配置して、インターネット接続をサポートしてサーバと対話させることは可能だ」(リア氏)
当然、これには多大な時間とリソースの負担を伴う可能性がある。このようなテストを実行する費用に応じたリソースを確保する必要があるだけでなく、適切な経験を有するスタッフもいなければならない。これを怠ると、パッチによってシステム障害が起きるなど、重大なリスクにさらされる恐れがある。
後編では、自動化を巡る勘違いとテスト戦略について解説する。
Copyright © ITmedia, Inc. All Rights Reserved.
エンタープライズ向け技術は、Linuxを中核に据え、オープンソースで動作しているものが多い。しかし近年、一部のベンダーが契約による囲い込みを強めており、ベンダーロックインのリスクが高まっている。安定したLinux運用を実現するには?
ITサービスへの要求は年々増大しており、その対応を手作業でカバーするには限界がある。そこで導入されるのがITSMツールだが、特に自動化機能には注意が必要だ。自社に適した運用自動化や作業効率化を実現できるのか、しっかり吟味したい。
業務効率を高めて生産性を向上させるために、多くの企業がITシステムの導入を進めている。しかし、自社の業務に合わないITシステムを導入してしまっては、逆に生産性が低下する可能性も高い。この問題をどう解決すればよいのだろうか。
世界中で広く利用されているChromeブラウザは、業務における重要なエンドポイントとなっているため、強固なセキュリティが必要となる。そこでChromeブラウザを起点に、企業が安全にWebへのアクセスポイントを確立する方法を紹介する。
Google Chromeの拡張機能は生産性の向上に不可欠な機能であり、ユーザーが独自にインストールできる一方、IT管理者を悩ませている。ユーザーデータを保護するためにも、効率的な運用・監視が求められるが、どのように実現すればよいのか。
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。