適切なパッチ管理について考えてみよう

文:Mike Mullins(TechRepublic)  翻訳校正:原井彰弘
2008-01-28 20:00:00
  • このエントリーをはてなブックマークに追加

通知とスケジューリング

 ネットワーク運用部門の管理者は、実施に先立って計画を承認しなければならない。重大性に関係なく、各々のパッチのリリースには、リリースに先立って技術変革に関する要求書(RTC)の作成と承認が必要となる。また、XYZ NetworksのCISOは、いつ社員に通知することが必要かを決定する。

実施

 ネットワーク運用部門は、「緊急」のパッチの場合は、入手可能になった後8時間以内にデプロイしなければならない。「緊急」のパッチはネットワークにとって直ちに脅威をもたらすので、このリリースにはテストが含まれてもよい。すべてのパッチに関して、ネットワーク運用部門は(パッチの実施前もしくは実施後に)テストを行い、監査と追跡を行う目的でそれをドキュメント化する必要がある。

 以下に、サンプルとして「重要」のパッチのリリースに関するスケジュールを示す。

入手可能              (A) = 0                     月曜日
テストの実施          < A + 1 日                  火曜日
承認                  < A + 3 日                  木曜日
リリース              < A + 5                     土曜日

 ネットワーク運用部門は「重要」のパッチを実施するために、緊急RTCとXYZ Networksの承認を経て許可を得る必要がある。また、「重要でない」と判断されたパッチについては、予防保守のために定期的に設けられている時間を用いて実施する必要がある。各々のパッチについては、承認されたRTCが必要となる。

 新しいネットワーク機器に関しては、各々のプラットフォームについて規定された厳格な手続きを用いて、最新のパッチのインストールを確実に行う必要がある。

監査、算定、検証作業

 すべてのパッチの実施後、ネットワーク運用部門の社員はパッチが正しくインストールされたこと、および何も問題が起こっていないことを検証する必要がある。

利用者の責任と実践

 (個人に対しても、組織に対しても)各々の利用者の責任となるのは、良識に基づき責任を持ってコンピュータやネットワークの資源を利用することである。

まとめ

 このポリシーはシンプルであるが、詳細についての記述もある。特に「誰が」「なぜ」「いつ」「どのように」といった、すべてのポリシーで扱う必要のある事柄についても記述がなされている。ただし、あなたがパッチ管理ポリシーを実際に定めたときには、それをただの紙切れで終わらせてしまうのではなく、会社全体が従うようにする必要もある。

 Mike Mullins氏は、米国財務省検察局および国防情報システム局でネットワーク管理助手およびネットワークセキュリティ管理者として勤務している。現在は、Southern Theaterネットワーク運営セキュリティセンターで運用指導者を行っている。

  • コメント(1件)
#1 palmas   2008-10-02 16:00:22
パッチについては、おろそかにするユーザやそうした場合もあり、徹底することの難しさを痛感します。大変参考になりました。
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]