1. HOME
  2. ブログ
  3. サイバーハイジーン基礎の基礎~第1回 なぜパッチ適用のプロセスに苦慮するのか? その課題と解決策

サイバーハイジーン基礎の基礎~第1回 なぜパッチ適用のプロセスに苦慮するのか? その課題と解決策

サイバーハイジーンについての連載がスタートします。
多くの組織において、Windows 10の導入が完了し、月例パッチやFeature Update対応に苦労が耐えないという話を良く耳にします。パッチやFeature Update(以下FU)適用のプロセスは、当該データを配信し、インストールし、必要に応じて再起動することより完了します。しかし、なぜ多くの組織が、この一見シンプルな適用プロセスに苦慮しているのでしょうか?
今回は、この適用プロセスにおける課題について解説させていただきます。

パッチやFeature Updateを適用する前の大前提

まず適用プロセス以前に、多くの組織が抱えている課題は、適用プロセスの対象となる国内や海外、さらにはガバナンスの範囲となるグループ全体で保有する全数端末の正確な数字を把握できていないということです。いわゆる「非管理端末(野良端末)が相当数存在する」という実情があります。

タニウムの実環境における数多くの検証データからも、これらの非管理端末は100%の全数端末を母数とした際に、約15%程度(各業種の中間値)の非管理端末が存在するという事実が浮き彫りとなります。

次に、管理できている85%の端末に対するパッチやFeature Updateの適用状況ですが、各社の配信ツールを活用し、適用プロセスを実施しても、どんなに頑張っても適用率が100%になりません。月例パッチを適用したいのに、1ヵ月たっても50%〜80%程度しか適用できない、というのが実情です。

パッチ適用のプロセスが、なかなか進まない原因と主な課題

では、パッチやFeature Updateを適用できない主な原因はなんでしょうか?

「そもそも配信ツールが導入されていない」「導入されているのに稼働していない」「適用時に大容量データのトラフィック圧迫により、有効トラフィックが圧迫される」「配信用の中継・分散サーバがボトルネックになる」「ドメイン(ActiiveDirectory:以下AD)が正しく構成されていない」「リモート環境の端末に対して、VPN経由で大容量データの配信ができない」などなど、あげればキリがありません。

衛生管理ができていない不衛生な端末群は、ひっそりと存在し続ける非管理端末の15%に加え、上述のような課題によってパッチやFUが適用できない端末が40%あります。結果として約55%の端末が攻撃の温床となる脆弱性を持ち続けていることにないます。さらに適用プロセス中において、ユーザーの通常業務に支障が出てしまうという深刻な課題もよく耳にします(下図を参照)。

パッチ適用のプロセスをスムーズに行うための解決策とは?

では、これらの課題に対してどのように取り組んでいけば良いのでしょう? 答えはとてもシンプルです。まず、最低でも30分間や1時間というリードタイムで全世界の非管理端末を自動的に可視化し、可視化された非管理端末を管理下に置くことです。そのうえで、下記の対応などで解決できるでしょう。

・配信ツールが導入されていなければ導入する
・稼働していなければ再稼働させる
・有効トラフィックを圧迫させない
・中継・分散サーバをそもそも利用しない
・リモート環境は直接マイクロソフト社のサーバからパッチを配信する
・VPN、あるいは衛星回線のような狭帯域でも、有効トラフィックを圧迫させずデータを配信する

・ドメイン(AD)が不完全であれば、そもそもドメインに依存しない配信方法も考慮する

また、規模の大小、管理台数の増減にかかわらず、ツールの応答性能は高いことが理想的です。”言うは易し”ですが、これらの全ての課題を解決するためには、革新的な技術が求められることは言うまでもありません。
手前味噌ですが、タニウムはこの革新的技術(特殊なアーキテクチャやプロトコル)で数多くの特許を取得しています。これらの多くの課題は「タニウム・リアルタイム・プラットフォーム」により解決が可能となります。規模が大きければ大きいほど、管理台数は多ければ多いほど、タニウムの革新的な技術は効果を発揮するのです。


タニウム合同会社
Chief IT Architect
CISSP, CISA
楢原 盛史(ならはら もりふみ)

タニウム合同会社のチーフ・IT・アーキテクトである楢原盛史は、トレンドマイクロ社、シスコシステムズ社、ヴイエムウェア社のセキュリティ営業、コンサルタント、アーキテクトを歴任し、特に経営層向けにセキュリティ対策のあり方から実装、運用までを包含した、「現場」目線における鋭い視点は多くのファンを持つ。また、2022年からはデジタル庁が主導する次世代セキュリティアーキテクチャ検討会の有識者としても活躍中。

関連記事

サイバーセキュリティの課題をテーマ別に紹介中!!