パッチ適用:すべての IT プロフェッショナルにとって悩みの種だ。報われず、骨の折れる仕事である。誰もしたがらず、仕事を妨げると感謝されない。それでも現下の脅威においては、これまで以上に重要になっている。
私が IT 業界を去って文筆業に進んでから 10 年経過したが、パッチ適用率やパッチ適用を行う人々の状況があまり改善されていないことを知って驚いた。
「パッチ適用は依然として難しいことで有名だ」と Forrester の主席アナリストであるアンドリュー・ヒューイット氏は The Register に語った。IT 運用を専門とするヒューイット氏によると、組織は 97 ~ 99 %のパッチ適用率を目指す傾向があるものの、通常、ソフトウェアの問題の 75 ~ 85 %しか修正できていないという。
「コンプライアンスの観点からすると、これは望ましいことではない」とヒューイット氏は付け加えた。
また、パッチが常に期待通りに機能するとは限らず、事態を悪化させる可能性もあることを念頭に置いておく必要がある。テストと評価は、デプロイプロセスに時間とストレスを加えるものなのだ。
最近、状況は改善されたのだろうか? Forrester のシニアアナリストであるエリック・ノスト氏によると、答えはノーである。同氏は、セキュリティの観点からパッチ適用について本誌に語った。ノスト氏によると、この 10 年で何か改善されたとすれば、それはビジネス面だという。システムを常に最新の状態に保つことがいかに重要であるかがようやく理解されてきたのだ。
「パッチの必要性については、少しずつ理解が深まってきているようだ」とノスト氏は指摘した。企業のリーダーたちは、不十分なパッチ適用が、費用のかかるマルウェア感染やその他のセキュリティ上の失態につながる可能性について認識を深めている。ノスト氏によると、セキュリティリーダーの約 79 %が、自分の上司はパッチの適用による中断を「必要な不便」と考えており、これはセキュリティチームと IT チームによる教育の向上が後押ししているという。
しかし、パッチ適用が困難であることは、あまり変わっていない。むしろ、状況は悪化している。
「人々は、一日中座ってシステムを更新するために IT 運用の仕事に就くわけではない」とノスト氏は言う。「彼らは、クールなプロジェクトや最先端のテクノロジーに取り組むためにこの仕事に就いている。誰も Windows Update を実行して適用するために就職したわけではないのだ」
爆発的に拡大するサードパーティアプリのエコシステム、実際にはパッチ管理を処理するように設計されていないエンドポイント管理ツール、帯域幅の問題(パンデミックによるリモートワークへの移行によって悪化)、アーキテクチャの難関と相まって、IT チームは「膨大な量の作業」を抱えているとヒューイット氏は語った。
ヒューイット氏は、このような問題をどこからともなく持ち出してきたわけではない。エンドポイント管理企業の Adaptiva は、2023 年のパッチ処理状況レポート [PDF] の中で、平均的な組織が約 2,900 のソフトウェアアプリケーションを管理しており、IT チームの 69 %が、それらすべてにスケジュール通りにパッチを適用するのは不可能だと考えていることを明らかにした。
つまり、優れた管理者はセキュリティ上の欠陥や同様の重大な問題にパッチを当てる必要があることを知っており、誰かがそれを悪用する前に、合理的に可能な限り速やかにアップデートをテストし、展開しようとする。しかし、そう簡単にはいかず、さまざまな要因が妨げとなるのが現実である。
