適切なパッチ管理について考えてみよう

文:Mike Mullins(TechRepublic)  翻訳校正:原井彰弘
2008-01-28 20:00:00
  • このエントリーをはてなブックマークに追加

モニタリング

 ネットワーク運用部門は、セキュリティ関連のメーリングリストのモニタリングや、ベンダからの通知やウェブサイトの精査、パッチのリリースに関する情報が掲載される特定のパブリックなウェブサイトの調査を行う必要がある。このようなモニタリング作業には、以下に挙げる項目を含む(ただし、それらに限定されるものではない)。

  • XYZ Networksのネットワークをスキャニングし、既知の脆弱性を特定する。
  • 問題の特定を行い、特定された脆弱性、(かつ/または)セキュリティ上の欠陥をXYZ Networksの最高情報セキュリティ責任者(CISO)とCIOに伝達する。
  • CERT、各種の通知、およびXYZ Networksのネットワーク上で運用されているハードウェアやソフトウェアのベンダすべてのウェブサイトをモニタリングする。

レビューと評価

 新しいパッチがリリースされた場合には、ネットワーク運用部門はそのパッチのリリース後4時間以内にダウンロードとレビューを行う必要がある。ネットワーク運用部門は、パッチの重大性を以下の基準で分類する必要がある。

  • 緊急 -- XYZ Networksのネットワークにとって直ちに脅威となる
  • 重要 -- セキュリティ上の脆弱性を対象としている
  • 重要ではない -- 標準的なパッチリリースの更新
  • XYZ Networksの環境には適用されない

 プラットフォームや重大性に関係なく、パッチのリリースはすべてパッチのデプロイに関して定義されたプロセスに従っていなければならない。そのプロセスには、リスクの算定、テスト、スケジューリング、インストール、そして検証作業が含まれる。

リスクの算定とテスト

 ネットワーク運用部門は、パッチのデプロイを行う前にそのパッチが企業のインフラに与える影響を算定しなければならない。また、ネットワーク運用部門は、各々のプラットフォーム(たとえば、サーバ、デスクトップPC、プリンタなど)ごとに、影響を受けるパッチの重大性を算定する必要がある。

 たとえば、ネットワーク運用部門がパッチを「緊急」と分類した場合は、ネットワーク運用部門はそれをXYZ Networksのネットワークにとって直ちに脅威となると考えているということである。そのため、XYZ Networksは、パッチを実施しないことによるリスクを、実施を行う前にテストで待つリスクよりも大きいと見なす。

 「重要」や「重要でない」と見なされたパッチに対しては、パッチの実施を行う前に各々の影響を受けるプラットフォームでテストを実行しなければならない。ネットワーク運用部門は、「重要」なパッチに関しては迅速にテストを実行する必要がある。また、ネットワーク運用部門は、パッチの実施を行う前にすべてのイメージ(たとえばWindows、UNIXなど)で妥当性の検証を完了しなければならない。

  • コメント(1件)
#1 palmas   2008-10-02 16:00:22
パッチについては、おろそかにするユーザやそうした場合もあり、徹底することの難しさを痛感します。大変参考になりました。
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]