IT担当者が「更新ボタン」を“全てを台無しにするボタン”だと考える理由：パッチ適用が難しい6つの理由【第3回】

企業がサーバの再起動が必要なパッチを適用すると、本番環境で稼働するアプリケーションが停止して、エンドユーザーを混乱させる。パッチ適用による予想外の互換性問題が、ミッションクリティカルなシステムを混乱に陥れる恐れもある。

バージョン管理やテスト、品質保証チェックがパッチ適用を遅らせる場合もある。「企業は利用可能になったパッチを全て適用できるとは限らない」と、米TechTarget傘下の調査会社Enterprise Strategy Groupでシニアアナリストを務めるダグ・ケーヒル氏は述べる。

動画配信サービスHBO Maxの最高情報セキュリティ責任者（CISO）ブライアン・ロザダ氏のチームは、「リスクベースのセキュリティ戦略」を採用し、パッチをいつ、どのように適用するかを判断している。具体的にはロザダ氏のチームがビジネスリスクに基づいて、ある脆弱（ぜいじゃく）性の修正優先順位を判断。優先順位が高いと見なすと、次にどの軽減策が戦略的に最も理にかなうかを検討する。「パッチ適用はメリットよりもデメリットの方が大きい場合がある。機能するとは限らないし、解決する問題よりも多くの問題を引き起こす可能性もある。適切に適用するには大きな労力が必要だ」（同氏）

ロザダ氏のチームがパッチを適用しなければいけないと判断した場合は、セキュリティ部門とIT部門が協力し、互換性問題に関するテストと軽減を実施するという。このプロセスは、エクスプロイト（攻撃コード）の差し迫ったリスクや、パッチ適用によるビジネスへの潜在的影響といった要因に応じて、作業速度を変更する必要がある。こうした作業に関する判断は、「技術部門とセキュリティ部門が共同で実施すべきだ」とロザダ氏は助言する。

現在のITシステムは大規模かつ複雑であるため、アプリケーションやエンドポイントなどの資産に関する最新のインベントリ（所有資産一覧）や全体像を把握していない企業もある。従業員がIT部門の承認を得ずに使用するIT製品「シャドーIT」は、問題をさらに混乱させる。「自社が持っているものが何か分からなければ、それが脆弱な状態かどうか、パッチを適用する必要があるかどうかも分からない」とケーヒル氏は語る。

ペトロ氏は、パッチ適用を技術的な課題でもあり、ビジネス的な課題でもあると捉える。「存在を知らなかったサーバに、IT部門がパッチを適用する良い方法はない」と述べた上で、企業に何年もパッチを適用していないシステムが存在する具体的な理由を幾つか挙げる。

技術トレーニング企業Infosec InstituteのシニアDevOpsエンジニアであるエリック・ニールセン氏も同じ意見だ。ニールセン氏は、かつて自社のシステムをきちんと把握していない企業に勤務したことがある。その企業は管理不備のせいで危機的事態の発生を避けられなかったという。「修羅場のような状況だった」と同氏は振り返る。

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。