« 一括セットアップする容易な方法「ハードディスクコピー」時の注意点 | トップページ | パソコンに対する権限を制限する事について »

脆弱性パッチやソフトのアップデート管理をどうするか

OSを含むパソコンのソフトウエアは、「脆弱性」なんて呼ばれる困った症状を抱えているものが多いです。これは「バグ」や「仕様定義ミス」と言ってしまえばそうかもしれませんが、これだけ仕組みが複雑になってしまっていたり、社会が要求するレベルが上がってしまったりするため、価格と要求を満たすためのバランスを考えれば仕方ないという側面があるという事も理解しなければならない状況です。そして、残念ながら世の中にはそれを悪用する輩がいるため、社内ヘルプデスクとしては、どうしても脆弱性パッチをインストールするという対応しなければならない状況になってしまいます。

●利用者自身にインストールを依頼する方法
ソフトウエアのインストールを利用者自身にやってもらうという選択肢もあるでしょう。利用者がパソコンに対してある程度の知識を持ち、インストール操作に対する権限が付与されていれば、作業は誰がやっても結果は同じです。社内ヘルプデスクとしては、手順と必要なファイルを配布する事(WindowsUpdateを利用するならその案内)と、各利用者から結果を回収する仕掛けを作るのみで対応する事が可能です。ただし、本当にきちんとそれらの変更が反映されているかどうかの確認や、インストール作業中の障害対応等、利用者自身が行うことによる弊害も把握しておかなければなりません。

●社内ヘルプデスク自身が作業する方法
初期投資が一番抑えられるのがこの方法かもしれません。1台ずつ確実に処理できるという利点がありますが、台数と作業時間が比例するという問題もあります。また、利用者との作業時間調整も必要になるでしょう。

●何らかのツールを使って行う方法
Microsoft社の「System Center Configuration Manager(旧製品名 Systems Management Server)」という製品を用いれば、ネットワークを用いてソフトウエア(Microsoft社製品に限らない)のインストールや管理を行うことが可能です。類似した他社製品も多くありますし、Windowsのドメインを構築していれば、「ログオンスクリプト」を用いてソフトウエアを配布する事も難しくはないでしょう。導入時や運用に対してかなり費用が発生します(ログオンスクリプトの場合は自作の工数)が、これらのツールを用いれば社内ヘルプデスクとしての作業や管理が軽減されるでしょう。ただし、これらのツールを使う場合は、過信しないように気をつけなければなりません。具体的には、配布漏れが発生していないかの確認やその対処が必ず必要になる、という事です。

脆弱性対策のパッチを1つ1つのインストールする事は、そう難しい事ではないでしょう。実のところ、ここで一番厄介なのは、これらのアップデートをどう管理するかという問題です。社内で稼働させているパソコンに対し、どれに何をしてどうなっているのかという情報管理が大変なのです。

そこで少しでも管理の手間を軽減したいと考えた場合に有効なのはやはり、「全て同じにする」という発想が大切です。組み合わせが増えればそれだけ管理が大変になります。たとえば、AとBという脆弱性パッチをインストールしなければならない状況が発生した場合、如何にして早く全てのパソコンにAとBをインストールするかを考えて実行するのです。そうしないと、Cという脆弱性パッチが新たに登場した時に、「AとBが入っているもの」「AとBが入っていないもの」が混在してしまうと、Cを配布する場合にそれらに対して分岐を考えなければならなくなるからです。それが複数段階になってしまうと、もう手に負えなくなります。

脆弱性パッチやソフトのアップデート管理については、規模や予算により最適な方法を選び、かつ、脆弱性パッチは「全台一斉配布を常に完了させる」という流れを組み立てるのが結果的に一番簡単、かつ、確実に対策が取れる事になります。

次回は権限を制限する事について書いてみます。よろしくお願いします。

|

« 一括セットアップする容易な方法「ハードディスクコピー」時の注意点 | トップページ | パソコンに対する権限を制限する事について »

ソフトウエア」カテゴリの記事

コメント

コメントを書く



(ウェブ上には掲載しません)




トラックバック


この記事へのトラックバック一覧です: 脆弱性パッチやソフトのアップデート管理をどうするか:

« 一括セットアップする容易な方法「ハードディスクコピー」時の注意点 | トップページ | パソコンに対する権限を制限する事について »