はじめに

脆弱性管理が大事だという話は当ブログでもさせていただきました。脆弱性管理は大事だからパッチを適切に適用しましょうという話をよくききますが、パッチ管理と脆弱性管理は同じものでしょうか？

パッチ管理は脆弱性管理のための一つの手法にすぎません。パッチ管理を実施していれば問題ないことはなく、脆弱性管理も実施することが望ましいです。

パッチ管理と脆弱性管理

パッチ管理

パッチ管理とは以下の一連のプロセスをさします。

1. ベンダーからパッチの配布
2. パッチのテスト
3. パッチの適用

端的にいうと、利用しているシステムのベンダーの配布する最新のパッチを速やかに入手し本番のシステムに適用して問題ないか確認したうえで適用する作業です。「1.

ベンダーからパッチの配布」にあるように、ベンダーからパッチがでるまで対応を行えません。このため、パッチ管理はリアクティブな対応である点をご注意ください。

脆弱性管理

脆弱性管理とは以下の一連のプロセスをさします。

1. 脆弱性の特定（ペネトレーションテストやスキャン等の実施）
2. 脆弱性の緩和策の実施
3. 脆弱性の根本対策の実施（パッチ適用など）

「1.脆弱性の特定」で積極的に脆弱性を探しにいくところから始まっており、脆弱性管理はプロアクティブな対応といえます。また、パッチではなく脆弱性を対象にしてる点も注目すべき違いです。脆弱性とはソフトウェアのバグによるものもあれば、設定によるものもあります。前者に関してはパッチを適用することによって修復されますが、後者は設定の変更が必要になります。また、すべての脆弱性に必ずしもパッチが存在するとも限りませんし、すぐにパッチを適用できるとも限りません。このようなことから脆弱性の速やかな把握と緩和策の実施が重要になります。

パッチ管理ツールと脆弱性管理ツール

前節ではその定義から違いをご紹介しましたが、実際にそれぞれのツールを見てみるとその違いがよくわかると思います。

パッチ管理ツール

以下が著名なパッチ管理ツールです。

• Microsoft WSUS(Windows Server Update Services)
• IBM Bigfix

これらは各端末のパッチ適用状況を把握しパッチの配布も可能なツールです。管理者の負荷軽減にも役立つツールといえるでしょう。ただし前述したようにあくまでパッチの適用だけであり、脆弱性が網羅されるわけではありません。

脆弱性管理ツール

以下が著名な脆弱性管理ツールです。

• Qualys VM
• tenable nessus

これらはパッチの適用までは行いません。あくまでシステムに存在する脆弱性の特定までを行います。特定された脆弱性に対応するのは管理者の役目です。各脆弱性の深刻度も提示されるため、それを元に必要なパッチ適用のみ実施するという運用が可能です。

まとめ

パッチ管理と脆弱性管理は目的は共通しており似ているところも多いけれど、その対象が異なります。脆弱性管理のうちの一つがパッチ管理と認識いただければと思います。