パッチ管理 (および自動化) とは

URL をコピー

パッチ管理は、オペレーティングシステム (OS)、プラットフォーム、またはアプリケーションの更新を管理者が制御することです。これには、改善または修正可能なシステム機能の識別、その改善または修正の作成、更新パッケージのリリースとその更新のインストールの検証が含まれます。パッチ適用は、ソフトウェアの更新やシステムの再構成と同様、IT システムのライフサイクル管理と脆弱性管理の重要な要素です。

パッチとは、オペレーティングシステム、プラットフォーム、またはアプリケーションの動作を決定する新しいコード、または更新されたコードのことです。通常、パッチは、コードの誤りを修正したり、既存の機能のパフォーマンスを向上させたり、ソフトウェアに新しい機能を追加したりするために、必要に応じてリリースされます。パッチは常に既存のソフトウェアの更新としてリリースされるものであり、新たにコンパイルされた OS やプラットフォーム、あるいはアプリケーションではありません

パッチの対象はソフトウェアだけでなくハードウェアである場合もあります。たとえば、マイクロチップを標的とした 2018 年の Meltdown および Spectre の攻撃の際には、Red Hat は対抗措置としてパッチをリリースしてメモリ管理の変更、ロードフェンスの作成、分岐予測ハードウェアのトレーニングを行いました。 

このような変更は通常、ソフトウェアのマイナーリリースやメジャーリリースよりも配信が迅速であるため、パッチは、サイバー攻撃、セキュリティ侵害、およびマルウェア (すなわち、新たな脅威、古いまたは適用されていないパッチ、あるいはシステムの構成ミスを原因とする脆弱性) に対するネットワーク・セキュリティ・ツールとして定期的に使用されます。

Red Hat のリソース

パッチ管理プロセスが明確に定義されていないと、パッチ適用が煩雑になる可能性があるからです。 

エンタープライズ IT 環境には、大規模なチームが運用する数百のシステムを含むものがあり、そのような環境では、数千にも及ぶセキュリティパッチ、バグ修正、構成変更が必要になります。スキャンツールを使用していても、システム、更新、パッチを特定するためにデータファイルを手作業で調べるのはきわめて煩雑な作業です。 

パッチ管理ツールは、パッチが適用されているシステム、パッチ適用が必要なシステム、非準拠のシステムに関する明確なレポートを生成するのに役立ちます。

Red Hat Satellite がパッチ管理を単純化する方法

パッチ管理のベストプラクティス

パッチが適用されていないシステムや古いシステムは、コンプライアンスの問題やセキュリティ脆弱性の原因となる可能性があります。実際、悪用される脆弱性のほとんどは、侵害が発生した時点でセキュリティチームや IT チームがすでに認識しているものです。

非準拠である、脆弱である、またはパッチが適用されていないシステムを特定します。システムスキャンは毎日行います。

潜在的な影響に基づいてパッチに優先順位を付けます。リスク、パフォーマンス、および時間に関する考慮事項を計算します。

頻繁にパッチ適用を行います。 パッチは通常、月に 1 回またはそれより短い頻度でリリースされます。

本番環境に置く前にパッチをテストします。

パッチ適用戦略では、ベースイメージからデプロイされるクラウドリソースとコンテナ化されたリソースも考慮する必要があります。ベースイメージが組織全体のセキュリティベースラインに準拠していることを確認しましょう。物理システムや仮想化システムと同様、ベースイメージも定期的にスキャンし、パッチを適用します。ベースイメージにパッチを適用した場合は、そのイメージに基づいてデプロイされているすべてのコンテナとクラウドリソースを再構築し、再デプロイします。

ベストプラクティスの詳細を読む

隙のないパッチ管理ポリシーを実装するためには計画が欠かせませんが、パッチ管理ソリューションを自動化ソフトウェアと組み合わせることで、構成とパッチの精度を向上させ、人的エラーを削減し、ダウンタイムを制限できます。

自動化により、IT チームがセキュリティリスクの特定、システムのテスト、数千のエンドポイントへのパッチのデプロイなどの反復タスクに費やす時間を大幅に短縮できます。時間のかかるプロセスを手作業を減らして管理することで、リソースを解放し、よりプロアクティブなプロジェクトに優先的に取り組むことができます。

たとえば、Red Hat® Ansible® Automation Platform モジュールには、HTTP パッチメソッドの呼び出しGNU パッチツールを使用したパッチ適用使用可能なすべてのシステムパッチの適用 (または取り消し) など、パッチ適用のプロセスの一部を自動化できるものがあります。 

多くの組織では、1 人の顧客のために複数のサーバーが連携して動作します。そしてこれらのサーバーは、それぞれの機能が絡み合っているため、パッチをデプロイするときに特定の順序でリブートする必要があります。Ansible Automation Platform は Ansible Playbook を使用してこれを正しく一貫して行うため、IT チームが手動で行う必要はありません。

セキュリティ自動化についての詳細

エモリー大学

エモリー大学では 500 を超えるサーバーで Red Hat Enterprise Linux を使用しているので、手動でのパッチのインストールが極めて困難な作業になることを IT チームは知っていました。その場合、同大学のインフラストラクチャはサイバーセキュリティの脅威にさらされることになります。そこで解決策となったのが、Ansible Playbook を使った各サーバーへのパッチの自動適用です。最大で 2 週間かかることが想定された全サーバーへのパッチのデプロイと修正が、わずか 4 時間で完了しました。

事例を読む

アジア開発銀行 (ADB)

ADB は Ansible Automation Platform を使用して、プロビジョニング、パッチ適用、その他のインフラストラクチャ管理タスクの完了に必要な時間を大幅に短縮しました。パッチ適用プロセスの自動化で月に約 20 営業日、データ復旧の自動化でインシデントあたり約 2 時間を節約できました。

事例を読む

ハブ

Red Hat 公式ブログ

Red Hat のお客様、パートナー、およびコミュニティのエコシステムに関する最新の情報を入手しましょう。

すべての Red Hat 製品のトライアル

Red Hat の無料トライアルは、Red Hat 製品をハンズオンでお試しいただける無料体験版です。認定の取得に向けた準備をしたり、製品が組織に適しているかどうかを評価したりするのに役立ちます。

関連情報

Ansible モジュールとは?をわかりやすく解説 | Red Hat

Ansible モジュールは、ローカルまたAPIやリモートで自動化タスクを実行する小さなプログラム。数千ものモジュールの使用や、カスタムモジュールの作成や共有が可能です。

Ansible Role とは?をわかりやすく解説 | Red Hat

Ansible Role は、既存のファイル構造を利用してタスクと関連アセットをグループ化する手法。自動化コンテンツをバンドルし、Playbook 間での再利用や共有を可能にします。

Ansible Rulebook とは?をわかりやすく解説 | Red Hat

Ansible Rulebook とは、条件付きルールセットであり、イベントを検出し、条件に合えば特定の処理を Event-Driven Ansible に指示し、人が介在しない自動化を実装します。

自動化と管理リソース

関連記事