Jun 01, 2021

Windows 10のパッチやFeature Update適応で露呈した深刻な課題

By タニウム合同会社, Chief IT Architect CISSP、CISA, 楢原 盛史

多くの組織において、Windows 10の導入が完了し、月例パッチやFeature Update対応に苦労が耐えないという話を良く耳にします。パッチやFeature Update適応のプロセスは、当該データを配信し、インストールし、必要に応じて再起動することより完了しますが、なぜ多くの組織がこの一見、シンプルな適応プロセスに苦慮しているのか? 今回はこの適応プロセスにおける課題について解説させていただきます。

まず適応プロセス以前に多くの組織が抱えている課題は、適応プロセスの対象となる国内、海外、さらにはガバナンスの範囲となるグループ全体で保有する全数端末の正確な数字を把握出来ていない、いわゆる非管理端末(野良端末)が相当数存在する、という実情です。弊社の実環境における数多くの検証データからも、これらの非管理端末は100%の全数端末を母数とした際、約15%程度(各業種の中間値)の非管理端末が存在するという事実が浮き彫りとなります。

次に、管理できている85%の端末に対するパッチやFeature Update適応状況ですが、各社の配信ツールを活用し適応プロセスを実施しても、どんなに頑張っても適用率が100%にならない、月例パッチを適応したいのに、1ヶ月たっても50%〜80%程度しか適応出来ない、という実情です。適応出来ない主な課題は、そもそも配信ツールが導入されていない、導入されているのに稼働していない、適用時に大容量データのトラフィック圧迫により有効トラフィックが圧迫される、配信用の中継・分散サーバがボトルネックになる、ドメイン(AD)が正しく構成されていない、リモート環境の端末に対してVPN経由で大容量データの配信ができない、等々上がればキリがありません。ひっそりと存在し続ける非管理端末の15%、上述のような課題によってパッチやFUが適応出来ないのが40%、結果として約55%の端末が、攻撃の温床となる脆弱性を持ち続けている実情です。さらに適応プロセス中において、ユーザの通常業務に支障が出てしまうという深刻な課題もよく耳にします(下図を参照)。

さて、これらの課題に対してどのように取り組んでいけば良いのでしょうか? 答えはとてもシンプルです。まず、非管理端末は最低でも30分や1時間というリードタイムで全世界の非管理端末を自動的に可視化し、可視化された非管理端末を管理下に置く。配信ツールが導入されていなければ導入する、稼働していなければ再稼働させる、有効トラフィックを圧迫させない、中継・分散サーバをそもそも利用しない、リモート環境は直接マイクロソフト社のサーバからパッチを配信する、あるいはVPNのような、あるいは衛生回線のような狭帯域でも、有効トラフィックを圧迫させずデータを配信する、ドメイン(AD)が不完全であれば、そもそもドメインに依存しない配信方法も考慮する、等々で解決出来ます。言うは易し、ですがこれらの全ての課題を解決するためには、革新的な技術が求められるのは言うまでもありません。タニウムはこの革新的技術(特殊なアーキテクチャ、プロトコル)を数多くの特許を取得しており、これらの多くの課題は、タニウム・リアルタイム・プラットフォームにより解決が可能となります。規模が大きければ大きいほど、管理台数は多ければ多いほど、タニウムの革新的技術は効果を発揮します。


ブログ記事に関してご質問やご要望がございましたらこちらからお問い合わせください。