IT担当者が「更新ボタン」を“全てを台無しにするボタン”だと考える理由:パッチ適用が難しい6つの理由【第3回】
パッチ適用は企業の長年の課題だ。パッチを適用することで予期せぬ事態に陥ったり、何にパッチを適用すればよいのか分からなくなったりする企業もある。そうした問題はなぜ起こるのか。
第2回「『パッチを全て、今すぐ適用する』がなぜ“間違い”なのか?」に続き、本稿は企業がパッチ適用を遅らせがちな理由を解説する。
理由2.パッチ適用によってシステム障害が発生する恐れがある
「問題の解決策が新たな問題を呼ぶのではないか」という不安は、パッチ適用に付きものだ。セキュリティコンサルティング企業Bishop Foxでリードリサーチャーを務めるダン・ペトロ氏は、「IT担当者には、『更新ボタン』が『全てを台無しにすることがあるボタン』に見えるときがある」と語る。ベテランのIT担当者なら、コンピュータに更新プログラムを適用してもなかなか再起動が始まらず、背筋が寒くなりながら画面を見つめた経験があるはずだ。
なぜ「更新ボタン」が“全てを台無しにするボタン”に見えるのか
企業がサーバの再起動が必要なパッチを適用すると、本番環境で稼働するアプリケーションが停止して、エンドユーザーを混乱させる。パッチ適用による予想外の互換性問題が、ミッションクリティカルなシステムを混乱に陥れる恐れもある。
バージョン管理やテスト、品質保証チェックがパッチ適用を遅らせる場合もある。「企業は利用可能になったパッチを全て適用できるとは限らない」と、米TechTarget傘下の調査会社Enterprise Strategy Groupでシニアアナリストを務めるダグ・ケーヒル氏は述べる。
動画配信サービスHBO Maxの最高情報セキュリティ責任者(CISO)ブライアン・ロザダ氏のチームは、「リスクベースのセキュリティ戦略」を採用し、パッチをいつ、どのように適用するかを判断している。具体的にはロザダ氏のチームがビジネスリスクに基づいて、ある脆弱(ぜいじゃく)性の修正優先順位を判断。優先順位が高いと見なすと、次にどの軽減策が戦略的に最も理にかなうかを検討する。「パッチ適用はメリットよりもデメリットの方が大きい場合がある。機能するとは限らないし、解決する問題よりも多くの問題を引き起こす可能性もある。適切に適用するには大きな労力が必要だ」(同氏)
ロザダ氏のチームがパッチを適用しなければいけないと判断した場合は、セキュリティ部門とIT部門が協力し、互換性問題に関するテストと軽減を実施するという。このプロセスは、エクスプロイト(攻撃コード)の差し迫ったリスクや、パッチ適用によるビジネスへの潜在的影響といった要因に応じて、作業速度を変更する必要がある。こうした作業に関する判断は、「技術部門とセキュリティ部門が共同で実施すべきだ」とロザダ氏は助言する。
理由3.存在を知らないものにはパッチを適用できない
現在のITシステムは大規模かつ複雑であるため、アプリケーションやエンドポイントなどの資産に関する最新のインベントリ(所有資産一覧)や全体像を把握していない企業もある。従業員がIT部門の承認を得ずに使用するIT製品「シャドーIT」は、問題をさらに混乱させる。「自社が持っているものが何か分からなければ、それが脆弱な状態かどうか、パッチを適用する必要があるかどうかも分からない」とケーヒル氏は語る。
ペトロ氏は、パッチ適用を技術的な課題でもあり、ビジネス的な課題でもあると捉える。「存在を知らなかったサーバに、IT部門がパッチを適用する良い方法はない」と述べた上で、企業に何年もパッチを適用していないシステムが存在する具体的な理由を幾つか挙げる。
- 企業がシステムの利用実態をつかめなくなった
- サーバを使用・管理していた部門が企業から去った際に、稼働を停止させるのを忘れた
- サーバの管理者が退職したときに、誰も管理を引き継がなかった
技術トレーニング企業Infosec InstituteのシニアDevOpsエンジニアであるエリック・ニールセン氏も同じ意見だ。ニールセン氏は、かつて自社のシステムをきちんと把握していない企業に勤務したことがある。その企業は管理不備のせいで危機的事態の発生を避けられなかったという。「修羅場のような状況だった」と同氏は振り返る。
TechTarget発 先取りITトレンド
米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.