Microsoftは前回の修正で生じた不具合に対処するパッチをたびたび公開していますが、アップデートに対する不信感を和らげるには至っていないようです。当社が最近実施した調査『Device updates: what’s stopping people from making the change?(英語)』では、企業ユーザーと個人ユーザーを含む回答者の51%が、アップデートをすぐには適用せず、インストールして問題が起きないかどうか他の人たちの様子を見ると回答しています。
無理もない話ではあります。アップデートのせいで企業ネットワークに問題が生じてはいけないと誰でも思いますし、業務のダウンタイムが生じると大きな損害が生じるかもしれません。その一方で、アップデートの適用を渋る人間心理をサイバー犯罪者たちはよく知っており、アップデートのリリース後すぐにサイバー攻撃が発生する可能性があることには、留意が必要です。アップデートはタイムリーに適用する必要がある、だがインフラとの互換性をチェックしてからでなければならない。安全なアップデート適用は、この間のどこかに位置します。
Windowsのアップデートは、この問題の一部にすぎません。その他のソフトウェアも同様に、修正パッチその他のアップデートを適用する必要があります。しかし、Microsoftほど定期的かつ積極的にアップデートや修正の通知が来ないかもしれません。そうなると、管理者としてはアップデート情報をどうやって手に入れ、インストールの優先度をどう評価したらよいのでしょうか?
テスト環境内でのソフトウェアアップデート
企業環境の場合、アップデート適用プロセスを完全に自動化することができません。使用されているハードウェアとソフトウェアは企業ごとに異なるため、アップデートを適用することでエラーが生じたり互換性が失われたりする危険が常にあります。会社のシステムを知り尽くしたシステム管理者でないかぎり、十分な情報に基づいた決断を一つ一つのパッチに対して下すことはできません。テスト環境ならば、その他のシステムを危険にさらすことなく、アップデートをインストールできます。
テスト環境
大規模企業、特に専用のソフトウェアを使用している大規模企業の場合は、会社全体にアップデートを展開する前に新規アップデートをチェックできるように、テスト用サブネット(または複数の仮想マシン)を情報セキュリティ部門で持っているものです。規模の小さい企業の場合は、1台のテスト用コンピューターを運用するのが一般的です。管理者は、会社の一般的な業務環境を模したテストマシンに新規アップデートをインストールし、経過を観察します。
この方法は決して安くなく、信頼性も完全ではありません。現実の人と現実の仕事をテストマシン上に再現するのは難しいもので、仮想マシンをテストに使う場合は特にそうです。例えば、パッチのインストール後すぐには問題が現れず、突然、特定の機能に問題が発生するかもしれません。
段階的インストール
複数回に分けてアップデートをインストールする方法もあります。一部にアップデートを適用し、すべて滞りなく稼働していると確認した上で、さらに適用を進める方式です。
インフラの一部分が保護されない状態を作るのにはリスクが伴いますが、実環境でパッチテストを行う利点は、リスクを上回るかもしれません。
パッチ管理システムによるアップデートの優先度付け
パッチ管理システムを使用すると、適用可能なパッチ(アップデート)に関する通知が管理者に届き、そのパッチが対処する脆弱性の状況が分かるので、必要なアップデートの検索やインストールの優先度付けがしやすくなります。
Kasperskyのシステム管理ソリューションは、ソフトウェアとハードウェアの棚卸しを一元的に自動化し、脆弱性の評価を行い、アップデートの配布を行います。このシステム管理ソリューションは、Kaspersky Endpoint Security for Businessに含まれる機能です。