統合エンドポイント管理ツールの活用で
パッチ適用をめぐる課題をトータルに解消

　OSやアプリケーションの脆弱性は、古くからサイバー攻撃の格好のターゲットとされてきた。ソフトウエア製品のベンダーから随時提供されるパッチを確実に適用することは、セキュリティ対策における基本中の基本である。

　例えば、国内で自動車を生産するメーカーで構成される日本自動車工業会は、自動車メーカーおよび部品事業者に対して、情報セキュリティにかかわる要請事項を通達している。その中で、標的型メールへの防御や多要素認証の導入などと並んで挙げられているのが、OSの最新アップデートの徹底である。「“要望”ではなく“要請”となっているのがポイントで、この要請に応じられない会社は、部品調達などの取り引きの対象にならない可能性もあります」とエイチシーエル・ジャパンの大野 洋一氏は強調する。

　これは、近年拡大するサイバー攻撃の脅威に対して、サプライチェーン全体で漏れのない対策を講じることが、業界としての切実な課題と認識されていることの表れとみることができる。サプライチェーンを狙った攻撃は、自動車業界に限らずあらゆる業界にとっての脅威であり、業種業態を問わず、すべての企業に同様の要求が課されているともいえる。

　しかし、OSへのセキュリティパッチやWindowsのFU（Feature Updates）などの適用をめぐっては、企業では以前から課題を抱えてきた。例えば、ベンダーから新たに公開されるものについては、既存システムの稼働に影響がないかテストを行った後に全社に適用するという企業が多く、そうなると当然、適用までに相応のリードタイムと手間を要する。

　「また最近では、コロナ禍に伴ってテレワークが各企業に浸透する中で、ネットワーク環境なども異なる従業員の自宅で運用されているPCに対し、どうパッチ適用を実施していくかということも、企業にとっては難問です」と大野氏は指摘する。

　こうしたパッチやFUの適用をめぐる問題の解消に広く用いられているのが、HCLが提供する統合エンドポイント管理製品「BigFix」だ。BigFixはこの領域の製品としては、グローバルな市場で最高レベルの評価を受けている製品で、国内でも業界を代表する大手企業、あるいは官公庁など公共分野においても広く採用されている。中には、27万台ものエンドポイントの管理に適用している企業もある。

　BigFixの仕組みとしては、仮にWindowsの環境であれば、マイクロソフトが最新のパッチやFUをリリースすると、それが同社からHCLの本部に配信され、それを受けたHCL側ではテストを実施して受け取ったパッチの安全性を確認。その後、それがどういう脆弱性に対応するものかといった情報と、適用のための手順書をパッケージ化した「Fixlet」を作成して、それをユーザー側で設置しているBigFix管理サーバーに配信する（図1）。 　「こうした一連のプロセスは、早ければ即日、遅くとも2～3日以内に行われます。ユーザー企業は、パッチなどのリリースを常にウォッチして自ら取りに行く必要がなく、最新かつテスト済みのものが自社のBigFix管理サーバーに届けられるわけです」と大野氏は紹介する。

　その後は、あらかじめ設定したPCやサーバー、クラウド、モバイルデバイスなどの機器・環境で構成される対象グループに対し、ボタン1つで配信し、適用を完了することができる。このとき、対象となるエンドポイントが稼働している拠点が分散しているケースでも、中間サーバーなどを立てることなく、拠点側の任意のPCをリレー設定することで、そのPCを介して当該拠点内のすべてのPCにパッチを配信し、適用することが可能だ。

　また、適用対象のPCなどがオフラインになっている場合にも、そのデバイスがオンラインになったタイミングで、デバイスにインストールされたBigFixエージェントが起動されてBigFix管理サーバーにアクセス。ユーザーがPCのオフライン中に適用されるべきパッチがなかったかどうかを確認して、もしあればそのパッチをダウンロードして適用するという運用になる。

　「通常の運用では、企業がパッチの適用を行いたいときには、ベンダーのサイトに取りに行って各PCに配信する形になりますが、BigFixではパッチが自動的にFixletで届いて、それをPush型で各PCやサーバー、クラウドなどの環境に送信。仮にそこで受け取れなかったPCなどがあれば、その後ユーザーがPull型でBigFix管理サーバーに取りに行って適用を行います。こうした『Push＆Pull型』によって、ほぼ100％の適用を可能にしているのがBigFixの大きな特徴です」と大野氏は説明する。

　BigFixで注目すべき特長が、例えばBigFix管理サーバーとリレー設定されたPCの間、あるいはリレーPCと各PCの間のネットワークの帯域に、任意の上限を設けて制御できる帯域制御機能を備えている点だ。例えば、送信側と受信側の間が10Mbpsであれば、そのうち1Mbpsだけをパッチデータの送受信のための帯域として確保するということが可能である。

　BigFix自体は冒頭で述べた通り、統合エンドポイント管理にカテゴライズされる製品であり、ここで紹介したパッチ適用にとどまらず、PC、サーバー、クラウド、そしてモバイルデバイスの各環境のインベントリ情報を収集・管理するための豊富な機能も備えている。

　「特にモバイルデバイスについては、Google PlayやApp Storeからのソフトウエアの導入をサポートしているほか、紛失時などに必要となる、リモートによるデバイスロックやデータワイプなどの管理機能も提供。また、脆弱性管理ツールとして人気の高い『Tenable』との連携機能を標準で装備しています」と大野氏は語る。

　BigFixの活用が企業にもたらすコスト面でのメリットについては、米国のある大規模ユーザーの例を紹介しておきたい。このユーザーは総投資額約1億円に対し、過去3年間でパッチ適用にかかわる運用コストの削減などで約4.2億円の利益を享受。ROIにして323％という効果を上げている。その投資回収期間は7カ月程度だったという。また、別のある企業では、BigFixの導入によってエンドポイントの管理コストを年間63％削減した（図2） 　企業にとって、万全のセキュリティ対策を目指すことは、自社の属するサプライチェーンを構成する他社に対する重要な責務でもある。PCからサーバー、クラウド環境のシステム、モバイルデバイスに至るまでを、一気通貫でカバーする統合エンドポイント管理を実現するBigFixがそうした責務遂行に向けての心強い味方となるはずだ。