1.ソフトウェアの脆弱性を改善するパッチ

Windows などのOSやソフトウェアは、公開後に脆弱性などの問題点が発見されることがあります。そして、その脆弱性を突いて悪意あるクラッカーが不正アクセスなどをする場合があります。
パッチは、こういったソフトウェアの公開後に発見された脆弱性などの問題点を改善するために公開される、修正プログラムのことです。企業でも、修正プログラムであるパッチは、常に最新版をインストールしておくことが企業のセキュリティ対策において重要なことです。

パッチと呼ばれるソフトウェアの修正プログラムですが、Windows では「セキュリティ更新プログラム」と呼ばれています。Windows を開発したマイクロソフト社では、毎月第2水曜日に最新の「セキュリティ更新プログラム」を公開しています。
Windows などのOSをはじめとするソフトウェアおいては、最新版パッチファイルへ更新しないと重大な脅威にさらされることになります。セキュリティ対策として、確実に最新版パッチファイルをインストールしておくことが必要となります。

2.パッチをインストールする時のファイル名は？

マイクロソフト社では、最新版パッチファイルなどが公開されると、自動更新するサービスがあります。一般の個人ユーザーへは、自動更新が有効になっているコンピューターに限り、セキュリティ更新プログラムが自動でインストールされます。また、Windows 既定の設定では、通常自動でインストールがされるようになっています。自動更新設定しておくことにより、常に最新版のセキュリティ更新プログラムがインストールされるので、ユーザーにとっても安心できるサービスとなっています。こういった自動更新設定をしている場合は、パッチのファイル名を意識する必要はありません。

しかし、企業においては、独自のアプリケーションを開発し使っているなどの理由で、最新パッチファイルとの互換性の問題がでてきます。また、古いソフトウェアに依存し使用している場合にも同じことがいえます。自動更新は便利でセキュリティ面では安心できますが、企業全体で考えると、自動更新することで社内すべてのコンピューターが使用できなくなってしまうというリスクがあります。そこで、企業では自動更新の設定をせずに、セキュリティの担当者が、手動でパッチファイルをインストールする必要があります。そして、手動でパッチをインストールする場合は、パッチの「ファイル名」を選びインストールする必要があります。

3.パッチをインストールする必要性は？

どのようなソフトウェアにでも、脆弱性が起こることはやむを得ないことです。プログラムのコーディングミスや設計段階のエラー、そして他のソフトウェアとの相性の問題など、さまざまな理由で脆弱性は発生するものです。なぜ公開前に脆弱性に気がつかないかというと、OSやアプリケーションソフトウェアは、複雑なプログラムによって作られているからです。また、大規模なOSなどでは、多くのエンジニアが開発にかかわり、そしてかかる工数も莫大な時間になります。そのため、開発者でさえもプログラムの脆弱性や問題点に、公開前では気がつかない可能性が高くなる、ということです。

ソフトウェアはプログラムの複雑さから、公開時には分からない脆弱性や問題点が、公開後の利用過程で発覚することが多くあります。そういった、公開後の脆弱性や問題点を解消する方法として、パッチファイルというプログラムをインストールし対応させるということです。そして、常に最新版のパッチをインストールし、ソフトウェアを最新の状態にしておくことが、脆弱性や問題点を解決することに必要となってくるのです。

4.パッチをインストールしないリスク

公開されている最新パッチをインストールしていない場合、コンピューターはセキュリティ上、問題点がある状態になっています。そうなると、ウイルスなど悪意あるマルウェアの脅威にさらされやすい状態といえます。マルウェアは脆弱性を突いて、個人情報などの機密情報を盗んだり、ユーザーが意図しない挙動をコンピューターに起こしたりします。企業におけるコンピューターは、全てがネットワークでつながっていることが一般的です。そのため、このようなマルウェアに1台でも攻撃を受けると、全社のネットワークが脅威にさらされる可能性がある、ということです。

マルウェアは、既にパッチが公開されている脆弱性を突いてくるものがほとんどです。対策されている脆弱性を突くということから、ターゲットとなるのは最新版パッチファイルがインストールされていないコンピューター、ということになります。そのため、既に公開されているパッチファイルをインストールしておくだけでも、マルウェアの脅威を防ぐ効果は期待できるというわけです。

また、マルウェアの中には、パッチが存在しない脆弱性を突いてくるものもあります。それは、開発者がまだ気づいていない脆弱性を突いたり、脆弱性の発覚からパッチ開発までのタイムラグを突いてくるマルウェアです。こういったマルウェアの攻撃は「ゼロデイ攻撃」と呼ばれています。パッチファイルが存在しないゼロデイ攻撃を防ぐことは困難だと考えがちですが、基本的なセキュリティ意識がある社員であれば、容易に防げます。身におぼえのないメールを開かない、怪しいメールの添付ファイルやURLをクリックしない、などが教育されて実践されていれば大部分は防ぐことができます。

5.パッチのファイル名にはルールがある

パッチファイルを手動インストールする場合は、マイクロソフトのダウンロードセンターなどで、ファイルをダウンロードする必要があります。マイクロソフトは、一定のルールに基づきパッチのファイル名を設けています。ルールはファイル名の左から、製品名・サポート技術情報番号・対象プロセッサ・対応言語、と順番に表記されています。このルールを意識することによって、ファイルの選択や管理などに役立てることができます。例えば、サポート技術情報番号がわかれば、関連した情報を検索することが可能となります。

自動更新ではない場合、セキュリティ管理者などは、自社で使っている製品名や対象プロセッサの種類などを把握しておく必要があります。そして、何のためのパッチファイルが必要なのかを理解している必要もあります。また、ファイルを手動でインストールするには、ファイル名で探しだす必要があります。そのため、企業のセキュリティ管理者などは、ファイル名のルールをおぼえておくことが重要です。
もちろん、そのままのファイル名でなければ、インストールができないというわけではありません。しかし、ファイル名を意識することで、セキュリティ管理を安全に実施することができます。

6.パッチをインストールする主な方法をチェック！

企業のセキュリティ管理者などは、必要な業務としてパッチファイルのインストール作業あります。一般的なパッチファイルをインストールする方法としては、必要なパッチをインターネット経由で検索し、ダウンロードしインストールするという方法です。

ここでは、HP-UXでのパッチファイルをインストールする方法を説明します。具体的には、まずHP-UXでパッチファイルをダウンロードします。すると、2つファイルがダウンロードされますので、2つともソフトを使い解凍します。そして、非対話形式でパッチファイルをインストールします。なぜ、非対話形式でインストールするかというと、企業では多くのコンピューターを使用しているためです。

対話型はインストール中に、インストール先のフォルダ指定やオプション関連の設定など、ユーザーが設定操作をする必要があります。そのため、多くのコンピューターを使用する企業では、作業効率や整合性をとる観点からも非合理的といえます。一方、非対話式はインストール中にユーザーが操作する必要がないため、作業の手間を減らすことや設定間違いなどを防ぐこともできます。そのため、多くのコンピューターを扱う企業では、非対話式インストールが合理的といえます。

7.複数のパッチはデポ化して素早くインストール！

複数のパッチファイルをインストールする場合は、非常に時間がかかってしまうものです。HP-UXでのインストールでは、複数のパッチを1度「デポ」化することで、まとめてインストール作業を完了させることができます。
デポとは、SD-UXでコマンド使用するための、特別にフォーマットされた種類のディレクトリのことです。デポがネットワーク上に存在する場合、そのサーバーがパッチファイルのソースとなることができます。他のネットワーク上のサーバーは、デポのあるサーバーからパッチファイルをインストールすることがでるというわけです。

デポの利点は、ネットワークを通じ複数のコンピューターに、パッチファイルをまとめてインストールできることです。複数ユーザーにメディアを渡す必要がないので、かなりの時間短縮が可能となります。

8.パッチが正しくインストールされたか確認しよう！

パッチファイルのインストールにおいては、正しくインストールされない場合もあります。そのため、パッチが正しくインストールされているか、確認することが必要です。
Windows での確認方法は、Windows アップデート設定画面の「更新プログラムのインストール履歴を表示」をクリックします。すると、過去にインストールした更新プログラムの一覧を確認することができます。そして、実際にインストールした日時に「正しくインストールされました」と表示されていれば、そのパッチプログラムは正しくインストールされたということになります。

また、コマンドラインで、パッチプログラムのインストール状況を確認することができます。キーボードで「Windows」キーを押しながら「R」キーを押すと、「ファイル名を指定して実行」と画面が表示されます。そこで「cmd」とキー入力すると、コマンドプロンプトが表示されます。そして、コマンドプロンプトに「systeminfo」とキー入力しEnterキーを押すと、インストールしたパッチファイルのリストを確認することができます。

9.パッチのインストールで注意すべき点

パッチファイルのインストールだけではなく、他のプログラムもインストールするときは、必ずやっておくべきことがあります。注意すべきポイントは、1つだけです。
パッチファイルのなかにはインストールすると、設定内容を初期化したり上書きしたりしてしまうものがあります。企業において、コンピューターの設定内容が変わってしまうことは、仕事への影響が起きてしまう重大なことです。そこで、パッチファイルなどをインストールするときは、可能な限り設定内容のバックアップデータを取っておくことが重要です。そして、インストール後に設定内容が変わっていないか、確認することも大切なことです。

また、パッチファイルのインストールでは、コンピューターの性能が著しく低下してしまうなど、不具合が起きてしまう場合もあります。こういった不具合が発生した場合、復旧に時間がかかってしまうと、会社全体のネットワークに影響してしまいます。もっともはやく復旧させる方法は、コンピューターをパッチファイルインストール前の状態に戻すことです。そのため、やはりこの場合でもバックアップデータを取っておく、ということが重要といえます。プログラムなどをインストールで注意すべき点は、バックアップを取ってからインストールするということです。

10.パッチのインストールに関する情報は専門サイトから

ネットワークのセキュリティ対策としては、定期的にパッチファイルをインストールし、最新の状態を維持することが大切です。しかし、企業ではさまざまなソフトウェアを使い分けているため、そのパッチファイルも数多く存在します。そして、企業ではアプリケーションとの互換性などの問題で、パッチファイルなどのプログラムを、自動更新することは難しいでしょう。セキュリティ管理者は、その都度必要なパッチファイル全てを把握して、手動インストール作業をしなくてはいけません。

会社で使用するソフトウェアの数が多いと、パッチファイル公開を調べたり管理したりすることに、不安を感じてしまうこともあるのではないでしょうか。不安を感じているなら、専門家に相談できるwebサイトを利用してみることもおすすめします。ソフトウェアごとのパッチファイル公開情報や、手動インストールの操作方法など、わかりやすく情報を提供してくれることでしょう。

11.パッチのインストールは企業のセキュリティ対策として必須！

昨今、企業において、社内ネットワークの環境整備は必須項目です。しかし、ネットワーク環境が整えば、ウイルスなどの脅威にさらされたときの損失は、計りしれないものになってしまいます。そうした状況を未然に防ぐセキュリティ対策として、最新のパッチファイルを常にインストールしておくことは欠かすことができません。企業のセキュリティ管理者は、パッチファイル公開情報や手動インストールなどを常に念頭に置いておく必要があります。