適切なパッチ管理について考えてみよう

　パッチ管理は組織内のネットワークをいつも苦しめる問題である。適用しなければいけないパッチやアップデート、セキュリティ修正プログラムなどは毎日のようにリリースされる。しかし残念なことに、攻撃者は常にセキュリティホールを探しているので、セキュリティホールのパッチを評価し配布するためにいつも無制限に時間を掛けるわけにはいかないというのが現状である。

　このようなセキュリティの現状では、パッチ管理は簡単に破綻してしまう。それが、パッチ管理ポリシーを導入して、必要な手続きや役割分担を明確にすることが求められている理由である。

　普通、このような問題について議論する際には、パッチ管理ポリシーの構成要素について考え、そのポリシーが解決しなければならない問題について考察するのが一般的だ。しかし、本稿では少し異なったことを行う。パッチ管理ポリシーで守らなければならない潜在的な問題について考えるのではなく、あなたの組織に合わせて適用できるサンプルのポリシーを紹介しよう。

サンプルのパッチ管理ポリシー

　以下に「XYZ Networks」という会社のパッチ管理ポリシーをサンプルとして紹介する。あなたの組織にこのようなポリシーが存在しないのなら、このサンプルを出発点としてポリシーを考えて欲しい。

目的

　最高情報責任者（CIO）は、XYZ Networksのアプリケーション、社員、ビジネスパートナー、受託業者に安全なネットワーク環境を提供する責任を持つ。この目的の一部としてXYZ Networksでは、XYZ Networksのネットワークに接続された（サーバやデスクトップPC、プリンタなども含む）コンピュータ機器すべてに対して、適切なウィルス対策ソフトウェア、最新のウィルス定義ライブラリ、最新のオペレーティングシステム、そしてセキュリティパッチを確実にインストールする。

ネットワーク運用部門の責任

　ネットワーク運用部門はパッチ管理システムの実施、運用、そして手続きについてすべての責任を負う。ネットワークの安全を保つのは個々の利用者が行わなければならないことである。一方、ネットワーク運用部門では、ネットワークの脆弱性を減少させる目的で既知の合理的な防御手段をすべて実施する一方、ネットワークを利用可能な状態に保つ役割を負う。この責任には、以下に詳しく述べる作業も含まれる。