自動パッチ適用とは
by Canonical on 18 March 2025
自動パッチ適用とは
システムの脆弱性が増えるにつれ、サイバーインシデント、攻撃、侵害のリスクが増大しています。システムを24時間保護することが、これまでになく重要な時代になりました。
パッチ適用は、あらゆる脆弱性管理に必須の作業です。このブログ記事では、パッチ管理について概説し、手動と自動でのパッチ管理を比較します。また、自動パッチ管理の使用事例や利点を説明し、自動パッチ管理の戦略を立てる明確な手順を定義します。
パッチ管理とは
ソフトウェアに関して言えば、パッチとはプログラミングの問題、欠陥、脆弱性を修正するための更新ファイルです。ソフトウェアが円滑かつ安全に実行されるよう、セキュリティ上の脆弱性、バグ、パフォーマンス上の問題に対処します。
パッチ管理とは、対象のソフトウェア、デバイス、システムに対するパッチを収集して適用する作業のことです。一般にこれには複数の手順があります。
- 情報の収集 – パッチ適用を完了させるために必要な情報を収集します。たとえば新しいCVEやソフトウェアの問題、システム/デバイスの仕様や要件などです。
- パッチまたは更新ファイルのダウンロード – 対象のマシンやデバイスに適用する必要のあるパッチやファイルを収集します。
- パッケージ作成 – 重要でないパッチを公開と同時に1つずつ適用するには手間がかかります。 したがって、複数のパッチを1つのコレクションにまとめ、1回のセキュリティパッチ適用メンテナンスでダウンロード/適用するほうが賢明です。
- パッケージ分散 – パッチのパッケージをすべてのシステム、ユーザー、デバイスに送信します。
- レポート作成 – パッチ適用がどのように実行されたか、中断、障害、問題が発生しなかったかどうかを知ることは非常に重要です。レポート作成は、パッチ適用中のエラーを発見し、新しいセキュリティ対策を把握するとともに、さらなる脆弱性のリスクを緩和するのに役立ちます。
パッチ管理は、強固なサイバーセキュリティ対策を維持し、新しい共通脆弱性識別子(Common Vulnerabilities and Exposures:CVE)によってソフトウェア、ネットワーク、システム、ユーザーが、サイバー攻撃、データ漏洩、マルウェアなどのサイバーインシデントに脆弱になるのを防ぐ上で極めて重要です。
パッチ管理が重要である理由
新しいCVEや攻撃ベクトルは毎日、ソフトウェア、デバイス、システムで発見されています。調査によれば、2024年の7月半ばまでで、新しく発見されたCVEは前年比で30%増加しています(2023年は17,114件、2024年は22,254件)。また、古いCVEの武器化も10%増加しています。
2024年11月の時点で、NIST(米国国立標準技術研究所)米国脆弱性データベースには32,562件の新しい脆弱性の報告がありました。現在、このデータベースには合計267,793の脆弱性が登録されています。データベースのCVSS V3スコアレベル分けによれば、現在、深刻度が緊急の脆弱性は24,186件あり、そのうち63,810件が高、64,029件が中です。
このように脆弱性が多い(そして急速に増加している)状況では、予測的かつ24時間体制の戦略が必要です。脆弱性を追跡し、修正ファイルを作成し、それをユーザーやシステムに配布して、あらゆるIT管理者が恐れる最悪のシナリオを防ぐ必要があります。
パッチ適用について、セキュリティチームと管理者には2つの選択肢があります。手作業でパッチを集めて適用するか、パッチ適用の自動化によって作業を可能な限り自動化するかです。
2つの戦略を簡単に比較し、長所と短所を検討してみましょう。
脆弱性管理における手作業と自動のパッチ適用
手作業と自動でのパッチ適用には、それぞれ長所と短所があります。どちらを利用するかは、用途、目標、システム設計、組織、機器の数、セキュリティ担当者の数によって決まります。
手動によるパッチ管理の長所と短所
少数のデバイスを臨機応変に管理する場合、およびパッチ適用前と適用後の手作業と、自動化の設定に同程度の手間がかかると管理者が判断した場合には、手作業が適しています。各パッチを点検し、承認し、特定のデバイスやシステムに適用する時間と労力を考えると、ミスがないとしても、高度なリスク回避を実現するために、かなりの利便性と時間を犠牲にすることになります。
「セキュリティの手作業でのパッチ適用はインタラクティブな作業であり、慎重で熟練したシステム管理者が必要です。」
– Rajan Patel、CanonicalのLivepatchおよびLandscape担当プロダクトマネージャー
しかし、手作業でのパッチ適用には多くの短所があります。
第1に、手作業でのパッチ適用を正しく行うには、注意力、経験、十分なスタッフが必要なことです。複雑なシステムに手作業でパッチを適用するのは簡単ではありません。サイバーセキュリティに加え、カスタムパッケージの構築、管理、導入における豊富な経験が必要です。このような経験を持つ者は少なく、高価な人材です。
また、文字どおり手作業のため、かなりの労力がかかります。パッチを集め、構築し、承認するには、継続的で、しばしば反復的な作業が必要です。多くの場合、手作業でのパッチ適用では、デバイスごと、あるいはコンピューターごとに新しいパッチをインストールし、エラーがないことを確認しなければなりません。このような作業はマシン数台なら難なくこなせますが、数百台、数千台になると膨大な時間とお金がかかります。専任のパッチ適用サポートチームが何日も何週間も働く必要があるためです。
その上、この作業に伴い、セキュリティ資料、脆弱性レポート、既知の問題のモニタリングと追跡にさらに多くの人と手作業が必要になります。このような補足的な作業や反復的な作業により、人的ミスの可能性も高まります。同じタスクを反復すれば、適用するパッチを間違う可能性も増すためです。したがって手作業でのパッチ適用は、スタッフ、時間、リソースの限られた組織には適していません。多数のユーザー、デバイス、システムに継続的なモニタリングと修正が必要な場合にも適しません。この作業は週末や夜中に何時間もかかることがあるため、残業が増え、人件費がかさみます。すでに過労のサポートスタッフが燃え尽きるかもしれません。
自動パッチ管理の長所と短所
自動的なパッチ適用は、手作業と比べ、一般に少ない時間と労力で済み、リソースを効率的に使用します。そもそもパッチ適用を自動化すれば、何千台ものマシンや何千人ものユーザーのパッチ管理にかかるすべての労力と時間が不要になります。また、自動パッチ適用は即座に実行されます。時間外でも、遠い場所でも、パッチが自動的にフェッチ、許可、適用されます。さらに良いことに、自動的にシステムを対象に含め、重要なソフトウェア向けの許可済み/確認済みのパッケージをフェッチするよう、自動パッチ適用を設定することも可能です。自動パッチ適用の場合、ボタンをクリックしてパッケージを確認する必要さえありません。定期的にバックグラウンドでダウンロードされ、適用されます。
自動パッチ適用は、デバイスの可視性と組織内の脆弱性モニタリングの改善にも役立ちます。大半の自動パッチ適用ソリューションは、モニタリング機能やレポート作成機能を持ち、評価、テスト、診断の手作業も省きます。自動パッチ適用ソフトウェアのダッシュボードを一目見るだけで、管理者はセキュリティ対策を評価し、リスクのあるマシンやシステムを特定し、脅威の防御と修復にかかる時間全体を短縮できます。
簡単に言えば、自動パッチ適用は、パッチを多人数のチームや多くのマシンに配布するには最も速く、簡単で、効率的な方法です。
ただし自動パッチ適用をセキュリティ管理方法として検討しているなら、いくつかの小さな欠点や検討事項があります。
たとえば自動パッチ適用だからといって仕事がないわけではありません。最初の設定のほか、具体的なマシンやユーザーのニーズに対応するカスタマイズ、不要なパッチを適用しないための調整も必要です。パッチの検証や認証が有効で正確であることを確認しなければなりませんし、継続的なシステムの安定性を確保するためにパッチ適用のテストとモニタリングも必要です。
また、自動システムがプログラミングに従い、不要なパッチを組織全体にプッシュしてしまうリスクもあります。このリスクを最小化するため、自動パッチ管理システムは、既知の安定した状態にいつでも戻れるよう、強力で信頼性の高いロールバックとシステム復元のシステムを内蔵する必要があります。
自動パッチ管理が適切な場合とは?
大半のビジネスや現代の事例において、自動パッチ適用は大規模にセキュリティ修正とパッチを管理する最も効果的で便利な方法です。
一般に自動パッチ管理は、以下の基準のいずれかを満たす組織に適しています。
- 非常に複雑なITシステムや広大なITインフラストラクチャを管理している。パッチ適用の必要なマシンやデバイスが何百台も何千台もある。
- ITサポートのできる人材が社内に少ない、または社内のITサポートスタッフが一握りしかいない。
- 多くのツールやテクノロジー、あるいは複雑なテクノロジースタックを使用している、またはシステムアーキテクチャの性質上、頻繁に多数のセキュリティパッチを適用する必要がある。
- サイバーセキュリティコンプライアンスの要件を満たすために、セキュリティ対策に認証済みパッケージやセキュリティパッチを含める必要がある。
- 短時間で修復し、長いダウンタイムを避ける必要がある。
- 複数の国や時間帯にわたるシステムやチームに均一なセキュリティ対策を展開し、最新のセキュリティパッチを適用する必要がある。
- リスクに対する耐性が非常に低く、パッチや修正を即座に適用することでサイバーインシデントやゼロデイ攻撃を防ぐ必要がある。
- ITセキュリティとサポートを簡素化し、主なITスタッフを他の開発やインフラストラクチャ業務に携わらせたい。
有効な自動パッチ適用に必要なものは?
パッチ適用やセキュリティ修正を自動化するツール、サービス、ソフトウェアを選択する場合、満たすべき要件がいくつかあります。
以下をご覧ください。
- パッチのソースが信頼できる – 自動パッチ適用ツールは、パッチを適用するソフトウェアの認定ベンダーなど、信頼性の高い検証済みのソースから更新ファイル、修正、パッチを取得する必要があります。
- パッチの認証、テスト、モニタリング – パッチを収集し、配布するだけでは足りません。優れた自動パッチ適用ツールには、パッケージのソースと内容を検証するほか、パッケージのテストとモニタリングによって結果が想定どおりかどうかを確認する方法が必要です。
- 安定したデプロイスケジュール – 自動パッチ適用ではスケジュール設定が肝心です。ソフトウェアやシステムの更新を常にチェックし、ユーザーや業務を邪魔することなく更新を速やかに適用できるツールを選びましょう。
- 簡単な設定とフリート管理 – マシンやシステムがすべて同じではありません。選択する自動パッチ適用ツールはこのことを踏まえ、グループやマシン向けにパッケージや更新を簡単に設定し、大規模なフリートについても各種のパッチを簡単に管理する機能を持つ必要があります。
- 自動ロールバック – 問題が生じることもあります。このような場合、良い自動パッチ適用ソフトウェアは、最後に正常に動作していた安定した構成にシステムを自動的にロールバックし、ユーザーやビジネスに被害が及ぶのを防ぎます。
- 結果レポートの作成 – サイバーセキュリティコンプライアンスとセキュリティ対策は、可視性と意識にかかっています。ユーザーが脆弱性をモニタリングし、エラーを修復し、全体的なセキュリティ対策を改善できるよう、自動パッチ適用ツールは、デバイスとフリートの詳細な把握と分析に対応する必要があります。
Canonicalでパッチ適用を自動化する方法
LandscapeとLivepatch(Ubuntu Proのサブスクリプションに含まれる)により、組織はセキュリティ対策のあらゆる層を管理する強力なツールを得ました。これには、トップレベルのモニタリングとパッチ適用、各デバイスの導入と管理、強制再起動なしのカーネルレベルの更新などが含まれます。これらのツールを堅牢で予測的なプラットフォームとすることで、組織全体でセキュリティパッチの適用を自動化できます。パッチ適用ツールにはUbuntu Proによるセキュリティメンテナンス保証が付属します。これはアプリケーションに重ねて使用し、OSと36,000以上のオープンソースパッケージに対応する包括的な脆弱性管理機能です。つまりソフトウェアパッチを信頼できるソースから取得し、テストによってシステムの安定性を確保できるということです。
では、LandscapeとLivepatchについて詳しく検討しましょう。
エアギャップ環境でもフリート全体を管理
Landscapeとは、Ubuntuベースのシステムで、重要なセキュリティとコンプライアンスの要件をすべて管理してモニタリングするためのシステム管理ツールです。
Landscapeは、ひとつのポータルで、セキュリティパッチの適用、パッケージ管理、システム監査を簡素化し、自動化するとともに、Ubuntu環境全体の把握、リモートでの更新、必要に応じたカスタマイズを助けます。
この管理プラットフォームには、高度なカスタマイズ機能とカスタムスクリプト機能もあるため、ユーザーは独自の更新用ソフトウェアリポジトリを作成し、要件や制限を追加できます。また具体的なニーズに応じた微調整、APIを通じたLandscape自体の拡張やカスタマイズも可能です。
Landscapeがシステムの運用開始、設定、管理、そして大規模な更新をどのように簡単にするのか、詳しくはLandscapeのページをお読みください。
最小限のダウンタイムでカーネルレベルの強固な保護
名前のとおりLivepatchは、Ubuntuベースのシステムでカーネルのライブパッチに対応します。これにより管理者は、システムを再起動することなく、セキュリティ/バグ修正や重要な更新をLinuxカーネルに適用できます。これによりダウンタイムや業務の中断が少なくなります。Livepatchは、ユーザーの操作なしで公開されたパッチを定期的に適用することで、重要なセキュリティ業務から手作業を排除します。
Livepatchがどのようにシステムの中核で再起動なしに保護を実現するのか、詳しくはLivepatchのページをご覧ください。
結び
パッチ管理は、セキュリティ対策全体とサイバーインシデントへの対応において特に重要な部分です。この作業を自動化することは、何千ものユーザーとデバイス、少人数のITチーム、複雑なインフラストラクチャを持ち、厳しいコンプライアンス要件を満たす必要のある大組織にとって理想的です。パッチ適用を自動化する利点は軽視できません。サイバーセキュリティのリスクを緩和し、ダウンタイムを抑え、手間のかかるサポートやセキュリティパッチからスタッフを解放する簡単な方法だからです。パッチ適用の自動化を目指す組織は、サイバー攻撃のリスク増大に対処し、厳しくなるサイバーセキュリティのコンプライアンス要件を満たすために、選択したツールが、モニタリング、パッケージの確認、自動ロールバック、詳細なレポート作成の機能を持つことを確認する必要があります。
出典:
- https://www.computerweekly.com/news/366600424/2024-seeing-more-CVEs-than-ever-before-but-few-are-weaponised
- https://www.computerweekly.com/news/366570913/CVE-volumes-set-to-increase-25-this-year
- https://www.computerweekly.com/news/366600424/2024-seeing-more-CVEs-than-ever-before-but-few-are-weaponised
- https://nvd.nist.gov/general/nvd-dashboard
参考情報
ニュースレターのサインアップ
関連記事
Japan IT Week 2025 にCanonicalが出展!
最新のAIoT & セキュリティソリューションを体験しよう 日本最大級のIT展示会 Japan IT Week が、2025年4月23日(水)~25日(金)に東京ビッグサイトで開催されます。Canonicalは、今年も IoT & Edge Computing Expo に出展し、最新の AIoT および セキュリティソリューション をご紹介します。 イベント情報 開催日時: 2025年4月23日(水)~25日(金)会場: 東京ビッグサイトCanonicalブース: 26-14 | IoT・エッジコンピューティング EXPO来場登録: こちらから事前登録ライブデモ事前予約: 事前予約 Canonicalブースの見どころ Canonicalブースでは、以下の最新ソリューショ […]
Canonicalが12年間のKubernetes LTSを発表
CanonicalのKubernetes LTS(長期サポート)はFedRAMPのコンプライアンスに対応し、ベアメタル、パブリッククラウド、OpenStack、Canonical MicroCloud、VMwareで最小12年のセキュリティメンテナンスおよびエンタープライズサポートが保証されます。 2025年2月 – Canonicalは本日、Kubernetes 1.32以降、12年間のセキュリティメンテナンスとサポートを保証すると発表しました。新リリースは、インストール、運用、アップグレードが簡単な上、トップクラスのオープンソースネットワーキング、DNS、ゲートウェイ、メトリクスサーバー、ローカルストレージ、ロードバランサー、イングレスサービスを備えています。Cano […]
HPE Discover More AI 東京 2025に出展します
Canonicalは、1月28日にザ・プリンスパークタワー東京で開催される日本最大級のITイベント「HPE Discover More AI 東京 2025」に参加します。今回のテーマは「Ubuntu Pro & MicroCloud LTSで安心の長期運用」です。現地にて、展示テーマやソリューションについて専門家にご相談いただけます。 イベント情報 出展テーマ・ソリューション Ubuntu Pro Ubuntu Proは、ビジネスにおけるセキュリティー支援とコンプライアンスのニーズを満たすエンタープライズサービスです。Python、OpenJDK、MySQL、PostgreSQL、OpenSSLを含む25,000以上のパッケージに、最長で10年間の脆弱性対応を提供し、開 […]
