多くの人にとって、パッチを適用するプロセスは、手動でも自動であっても、パッチ適用前後で不安が募り、緊張し、気分を滅入らせるものです。
手動のサーバーパッチを行う必要がありながら、ぐっすり安眠をとれる IT 部門のことを聞いたことがありますか?聞いたことがないと思います。存在しないからです。
IT 部門のメンバーなら、ソフトウェアとサーバーのパッチ適用という言葉はよく聞くと思います。今更の感があるかもしれませんが、一応説明します。
テクノロジーは常に進化し続けるものであり、その変化に対応するため、サーバーはパッチと呼ばれる頻繁な更新を受ける必要があります。サーバーのパッチは通常、サーバーの更新、修正、または改善を目的としています。バグ・フィックス、セキュリティ上の脆弱性解消、コード問題の修正など、様々な修正が入ります。
サーバー会社はこれらの更新情報をクライアントにリリースします。クライアントは、システムを最新に保つ必要があるので、リリースされた情報をインストールすることになります。
クライアント企業は、これらの更新情報を手動でインストールすることも、自動的にインストールすることもできます。まったくインストールしないことも選択肢としてはありますが、例えば脆弱性へのパッチを怠ってセキュリティ侵害があれば、クライアント企業が責任を問われることになります。
ところで、手動サーバーパッチに関して適切に形容する3つの言葉があります。労働集約的、エラーが発生しやすい、そしてリソースを大量に使用する、の3つです。
労働集約的
サーバーのパッチは、IT 部門が対処しなければならない処理のうちおそらく最も煩雑なアクティビティです。ベンダーからパッチアラートを取得したら、システムに影響を与えるパッチなのかどうかを評価し、パッチを適用するタイミングを決定する必要があります。実際のパッチ適用作業に加えて、パッチのテストやパッチ後の検証の実行なども行わなければなりません。
エラーの発生しやすさ
手動のサーバーパッチ適用にはいい点もありますが、エラーが発生しやすいという重要なマイナスポイントがあります。エラーは、ダウンタイムや停止のリスクから、パフォーマンス問題やインストールの失敗まで、様々な問題を引き起こす可能性があります。
リソースの大量使用
サーバーの手動パッチ適用プロセスには、手に負えないほどの量の人的リソース、金銭的リソース、そして時間がかかります。しかも、必ずしも成功を保証するとは限りません。
サーバーパッチの自動化について説明する前に、少し回り道をして、アプリケーションプログラミングインタフェース(Application Programming Interfaces、API)について概説しておきたいと思います。
IT オペレーションは、よくクライアント-サーバー・モデルで実施されます。クライアントが IT 企業(フロントエンド)で、サーバーがリソース(バックエンド)にあたります。
API は、クライアントとサーバー間の通信を容易にする一連のルールです。REST API は API の一種で、クライアントとサーバーとの間のデータ転送を行います。ステートレスであり、キャッシュ可能であり、ほかにも柔軟性や複数のデータ形式との互換性など、多くの優れた点があります。
REST API のアプリケーションに制限はなく、様々なことができますが、サーバーパッチの自動化に使用するものは最も重宝するアプリケーションの1つです。
REST API は、サーバーのパッチ適用という、かなり面倒で面白みに欠けるプロセスを自動化するために活用できるソフトウェアの構成要素です。
サーバーパッチの処理を自動化するかしないかの判断は、必ずしも単純に下せるものではありません。
1つには、パッチや自動化を行わなくても、システムは多くの場合正常に稼働し続けられるという現実があります。さらに、Windows Server Update Systems(WUWS)のような無料のサーバーソフトウェアでさえ、何らかの形の自動化が組み込まれています。
ただし、それで十分かどうかには疑問が残り、サーバーパッチを無視することで生ずるリスクも考えなければなりません。規模が小さい企業の場合は別としても、複数のサーバーを稼働させているような企業であれば、自動化が最善の方法のようです。
パッチ自動化を採用することにより、手動のサーバーパッチでは難しい分析というメリットが得られます。サーバーパッチ自動化ソフトウェアは、パッチ展開状況、マシンコンプライアンス、マシンソフトウェア、アセットなど、豊富な情報を提供します。
サーバーパッチの自動化に対する投資収益率の高さは大きなメリットになります。前述のように、手動でサーバーにパッチを適用するには多くの人的資源が必要であり、人件費が高騰します。自動化が可能なタスクを手動で実施することで何時間もの人手が取られ、その間に他の生産的な活動に従事できないことによる損失も考慮しなければなりません。
様々なサーバーやオペレーティングシステム、そしてサードパーティーのソフトウェアを使用していると、全体を体系立てておかないと管理が困難になりがちですが、サーバーパッチを自動化する過程で、パッチ適用を標準化することができます。
パッチの自動化のためにはまず全体的な整理をすることが必要になります。色々なパッチに対応できるよう、多様なシステムにパッチを適用するための体系的なアプローチが必要ですが、最終的にはすべてが自動化されることで、一つ一つ手作業で対処しないといけないといった状況から解放されます。
1台や2台のサーバーにパッチをあてるだけなら、手動のサーバーパッチでもなんとかなるでしょうが、複数のサーバー、様々なサードパーティーアプリケーション、様々なオペレーティングシステムが絡んでくると、まったく別の話になります。
自動化することで、制御された方法で異なるエンドポイントに同時にパッチを適用できます。そのため、労力は軽減され、エラーの可能性が少なくなり、多様なサーバーシステムを手動で更新するための全体的なコストが削減できます。
パッチが正しく適用されていないシステムには、バグがあったり、脆弱性があったりする可能性があります。そもそも、サーバーパッチの主たる目的の1つはセキュリティの向上にあり、ソフトウェアの進化に伴って発生する抜け穴などを修正するためのパッチ情報が通知されます。この点は統計にも表れています。
Ponemon の調査によると、セキュリティ侵害の60%は、パッチが適用されていない既知の脆弱性に乗じられたものです。パッチの自動化によって脆弱性から保護され、パッチ後に存在するかもしれない脆弱性への露出が減少します。
パッチ自動化は、生産性向上に大いに貢献します。自動化によって面倒な反復的なタスクから解放され、IT 部門のメンバーはより生産的な職務の遂行に集中することができます。それだけではありません。自動化をプロセス全体に適用し、検証、ログ問題の特定、状態チェック、トラブルシューティングなどにも自動化を活用することができます。
GDPR、HIPAA、NIST などの動きを考えれば明らかなように、プライバシーとデータに関する厳しいコンプライアンスや規制は、前例のない勢いで追加されています。ユーザーのプライバシーを重視しない企業は、生き延びることができなくなるでしょう。サーバーのセキュリティは、データのプライバシーを確保し、規制コンプライアンスを満たすプロセスを確立する上で重要な役割を果たします。
まず、サーバーのパッチを自動化する過程で、システム全体を見直す必要があり、その際にエラーと脆弱性を減らすことが可能になります。コンプライアンスを満たすためには、パッチの自動適用によってセキュリティを向上させることが必要です。
サーバーパッチが自動化されていると、更新や改善の機会を見逃すことはありません。パッチ情報には運用をより効率的にする改善や新しい機能も含まれるので、それらに対応していくことは企業にとって確実に有益なはずです。
頻繁なパッチ情報に対応し切れず、無視を決め込むことにしてみたら、ほっと安堵できることがあるかもしれません。ですが、短期的な安心を得られたとしても、パッチの無視は脆弱性排除の機会を失うことになり、長期的には推奨できる対処法ではありません。
生産性の高いチーム、しっかりしたデータプライバシーとセキュリティを確立している組織には、特徴があります。高機能のツールをうまく利用しているという特徴です。WhatsUp Gold は、まさにそのような高機能ツールであり、サーバー監視に必要なすべてを提供します。その幅広いサービスには、わかりやすいインタフェースによるサーバーインフラストラクチャの可視化、自動化されたインベントリレポート、迅速なトラブルシューティングなどが含まれ、サーバーの高い可用性とパフォーマンスを維持できます。
WhatsUp Gold には、REST API も備わっており、サーバーパッチの自動化のためのツールとしても有用です。ご興味をお持ちの場合は、どうぞ お問い合わせください。
Get our latest blog posts delivered in a weekly email.