BigFix活用シリーズ(第二回) BigFix(パッチ管理ツール)とは?特長と機能をご紹介!
投稿者:BigFix担当
目次
1.はじめに
みなさん、こんにちは。セキュリティチーム所属、社会人2年目の若林です。
本投稿ではBigFix活用シリーズ第二回として、そもそもBigFixとはどのような機能を持つ製品なのか・・・といった部分をご紹介します。
パッチ配信や適用が上手くいっていない、パッチ管理ツールをどう活用したらいいか分からない等のお悩みを抱える管理者の方も多いのではないでしょうか。
少しでもお役に立つことができれば幸いです。
第一回では、「OfficeからMicrosoft365(旧Office365)への移行および移行後のパッチ管理」についてご紹介しています。こちらもぜひご覧ください。
2.パッチ管理ツールが必要な理由
BigFixのご紹介をする前に、なぜBigFixのようないわゆるパッチ管理ツールが必要なのかを簡単にご説明します。
セキュリティ対策は多種多様ではありますが、そのセキュリティ対策の基本中の基本とも言えるパッチの適用は非常に大きな役割を果たします。
パッチの未適用が要因とされるサイバー攻撃は世界中で数多く発生しています。
その中でも甚大な被害を引き起こしたWannaCryの事例をご紹介します。
2017年、WannaCryと呼ばれるランサムウェアが150か国以上20万を超える端末に猛威を振るいました。日本国内でも、大企業だけでなく中小企業や個人の端末でも感染が確認されました。
攻撃者はファイル共有のプロトコルである「SMBv1」の脆弱性を利用しました。しかし、この脆弱性は、事例発生の2ヵ月前よりパッチが配信されていました。つまり、パッチの適用がされていれば、ランサムウェアに感染する可能性は低かったでしょう。
またランサムウェアだけでなく、多くのサイバー攻撃が脆弱性を利用します。
このようなことから、いかに早く確実にパッチを適用できるかが社内のセキュリティを守るために重要なのかが分かります。
そこでパッチ管理ツールを活用することで、的確なパッチ配信や適用を行うことが可能となります。
3.BigFixの特長
BigFixは、パッチ管理やソフトウェア配布、OS展開、資産管理など多くの機能を持っています。
その中でも大きな特長であるパッチ管理と帯域制御について見ていこうと思います。
パッチ管理
多くの企業のIT部門でパッチ管理に関する何らかのお悩みがあるのではないでしょうか。
実際に大容量のパッチ(フューチャーアップデート:FU)適用に関して、「一般的なパッチ配布ツールでは、在宅PCに対して FUを適用できない。」や、「FUを適用するために社員が順次出社し、IT部門総出で対応する必要がある。」といった声を多様な業界のお客さまよりお聞きすることがあります。BigFixを活用することでこのようなお困りごとを解消できる可能性が高いです。
パッチの適用率
BigFixは、一般的なパッチ管理ツールと比べ、初回パッチ適用率98%以上という高いパッチ適用率を有しています。
一般的なパッチ管理ツールでは、サーバ駆動型のパッチ配信のためパッチ適用率が低く、再試行時には利用者にOSの起動をしてもらうよう連絡する必要があり、時間や手間が掛かってしまい、より適用率が低下してしまいます。
一方で、BigFixは自律型エージェントのため、PCに導入することでネットワークに接続した際に、ポリシー適合状況をチェックし、未適合の場合はその場でパッチ適用等を行います。
また、BigFixはパッチの配信や適用に関するプロセスを自動化する機能を持っています。この機能は、パッチ情報の取得、ポリシー設定に基づく選定、ダウンロード、配信、適用、レポート生成など多岐にわたります。
これにより、担当者の稼働を低減させることができ、パッチ公開から適用までを迅速かつ効率的に行うことができます。
さらに、WindowsやMacOS、Linux、UNIXなどの多様なOSだけでなく、AdobeやJava等の主要製品のパッチ配信にも対応できるため、OSやソフトウェアが混在している場合でも、パッチを迅速に適用することができます。
パッチ配信の柔軟性
BigFixは、パッチの配信スケジューリングや停止などの機能を持っており、一般的なパッチ管理ツールに比べ、パッチ配信に関して高い柔軟性があるとされています。
例えば、パッチ配信のスケジューリングに関しては、特定の条件や日時、曜日、時間帯に基づく詳細な設定を行うことができます。
また、特定のパッチだけを配信から除外あるいは適用することができるなど、パッチの選定に関しても高い柔軟性を有しています。
運用負荷の低減
BigFixは、パッチ適用の進捗や成功/失敗、セキュリティ状態の詳細なレポートをリアルタイムで確認することができます。
管理者はパッチの適用状況を常に確認することができるため、未適用等の端末を即座に特定し、対処することができます。これによって、脆弱性のある端末をいち早く減らすことが可能となります。
また目立ちにくい機能ですが、運用負荷を大幅に削減可能なFixletというHCLにて作成されたMicrosoft社以外のソフトウェアに対するパッチ配布定義を提供しています。一般的なパッチ管理ツールでは必要なパッチ情報の取得やパッケージの作成、適用対象抽出プログラムの作成、配布ポイントへの配置などの適用準備作業が多く、管理者の負荷や稼働が非常に大きいです。しかし、Fixletを活用することで、これらのタスクを省略しパッチ配布を行うことができるためミスの低減や管理者の負担が低減します。
Fixletは、パッチの適用条件を満たした場合のみ端末に提供するため、本来適用すべきではないパッチが配信される危険性がなく、エラー等の発生率を下げることへも繋がります。
帯域制御
パッチ配信時のネットワーク負荷についてお悩みを持つ方も多くいらっしゃるのではないでしょうか。
BigFixは優れた帯域制御機能を有しており、業務への影響を最小化させることができます。
一般的なパッチ管理ツールでは、各端末単位で帯域制御を行うため、複数台の端末で同時にパッチ適用が開始した場合、ネットワークへ大きな負荷が掛かります。
また、柔軟な設定が困難な場合があり、帯域制御が機能していないということもあります。
一方で、BigFixでは予め設定した利用可能なネットワークに対して柔軟な制御を行うことができるため、ネットワークが細い環境でもパッチ配信を完了することが可能です。
また、各コンポーネントに「送信ダウンロードトラフィック」と「ダウンロードトラフィック」の二つのポイントで細かい制御を行うことができ、ネットワークへの負荷を低減させることへと繋がります。
4.さいごに
今回はBigFixの有用性についてご紹介しました
上記のような機能を活用することで、社内のセキュリティレベル向上の実現が可能となります。
次回以降は実際の活用方法をご紹介できればと思います。
BigFixやその他セキュリティ製品に関するご相談は、日本情報通信問い合わせ窓口までお問い合わせください。