Talk about NexTalk そこまで来ているITのNextを語ろう IT技術の進歩はめざましく、夢のように語られていたストーリーも夢ではなくなりつつある。そこまで来ている次の世界を語りませんか?
購読のお申し込みはこちら

パッチ適用作業“一発解消”!業界初、Linuxセキュリティホールパッチ自動適用ソリューション
数十数百台のサーバーにパッチを一斉適用/手軽で確実なセキュリティ環境を実現

安定性、信頼性、そしてコストメリットなど、オープンソースへの評価が高まる中、Linuxを導入する企業や官公庁、自治体が増えています。しかしセキュリティホール・パッチ適用の大変さから、そのまま放置されているケース非常にが多いのが実体です。
ユニアデックスが提供する「セキュリティホール パッチ自動適用ソリューション」は、GUIを利用して数十数百のLinuxサーバーにパッチを自動適用することができる、システム管理者が簡単に扱える運用管理ソリューションです。今回は、この業界初のソリューションを構成するQlocエンジンを開発したクワンティ株式会社の寺澤 陽一郎社長と、Net-ADMを開発したヌリテレコム株式会社の鈴木 真幸社長にご登場いただき、ユニアデックスの松隈グループマネージャー共々、ソリューションの紹介と業界現状についての話をしていただきました。

寺澤氏
 
鈴木氏
 
松隈氏
         
クワンティ株式会社
代表取締役社長
寺澤 陽一郎氏
 
ヌリテレコム株式会社
代表取締役社長
鈴木 真幸氏
 
ユニアデックス株式会社
SEサービス部
ソリューションインテグレーション室
Linuxソリューション
グループマネージャー
松隈 基至

2日〜3日に一回はセキュリティアラートが! ハードルの高いLinuxのパッチ適用作業
Linuxを導入した企業において、セキュリティホールを放置しているケースが多いとお聞きしていますが

松 隈
基本的にハードルの高い作業であるため、放置しているケースは多いといえます。どのオペレーティングシステムでも、セキュリティパッチ適用に関する問題は同じだと思いますが、Windowsの場合はWindows Updateがあるので、誰でもマウスクリックするだけでできます。しかし、Linuxなどのオープンソースでは、パッチもソースコードで公開されます。それを元にして、ディストリビューターがパッチを当てたバイナリを提供していますが、ユーザーは自分でダウンロードし、コマンドを叩いてインストールする必要があるのです。
Linuxは元々、ある程度スキルのある人が使うオペレーティングシステムでしたが、ここ数年で世の中での評価、実績が上がったほか、コストダウンができることや、クライアントアクセス・ライセンスが不要なことから、切り替える企業が増えてきました。増える一方で、放置するケースも増すばかりです。


セキュリティパッチを当てるスキルがないため、セキュリティホールが放置されていると?

松 隈
それだけではありません。ユーザーはまず、パッチがアナウンスされたかどうかをチェックしなければなりませんが、Linuxのパッチは数が多いため、アナウンス自体を知らないまま放置するケースも多いと思われます。
社外からのアタックについては、ファイアウォールを抜けてアクセスしてくるサービスへのパッチ情報を気にしていればいいのですが、社内からのアタックも見逃せません。社内に対してファイアウォールを立てていない場合は、全てのセキュリティホールに対してパッチを当てなければなりません。
鈴 木
パッチを当てるのは現状のネットワークインフラを支えるために不可欠なことですが、はっきりいうと手間がかかり過ぎて運用しきれないというのが現状です。一言でいうと面倒くさい。しかし、面倒くさいことをきちんと行わないと、どこかに漏れが出てしまい、結果的に社会的責任を負うことになります。
寺 澤
これはLinuxに限った問題ではないと思います。「脆弱性」という言葉自体、MS Blasterで初めて知った人も多いことでしょう。セキュリティホールが認識され、MicrosoftはUpdateを提供しましたが、Linuxの場合は自分で情報を追いかけなければならない。それに凄い数のパッチが出ていますので、そのパッチが自分に関係あるのかどうかという判断も必要になってきます。それぞれのパッチについて検証を行って、稼働しているシステムとの相性だとかを判断しなければならないのです。
RHLのデータを取ってみると、2日から3日に1回はセキュリティアラートが出されているそうです。そのくらい多いということです。


パッチ適用作業も立派なセキュリティ対策。しかしIT業界に携わる人たちのロス
すると、Linuxのセキュリティパッチは、ユーザーが自分で当てるしか方法がないのですね

寺 澤
寺澤氏今までは「なかった」んですね。セキュリティホールに関してやらなければならないことは、どの運用者も同じです。Linuxサーバーの導入、運用について、1台に行うことは100台にも行う必要があります。同様に運用者が1,000人、10,000人いたら、皆同じことをやらなければならない。それはIT業界に携わる人たちのロスです。それをやりましょうというのが「Linuxセキュリティホールパッチ自動適用ソリューション」なのです。
松 隈
「セキュリティホールパッチ自動適用ソリューション」を利用すると、管理者は新しいパッチが公開されたことをメールなどで知る事ができます。どのサーバーに対してどのパッチを当てるかを設定しておくことで、必要なものだけが表示されますので、管理者はコンソールの前に座って、GUIの画面でパッチ当ての指示を行うだけで良いのです。

クワンティ社では新しいパッチがリリースされた場合、それがどういう内容なのかをチェックし、英語によるリリースを日本語に訳して、そのパッチと共に自社のサイトに掲載します。ローカルのサーバーにインストールされたQlocエンジンが、定期的にサイトを見に行き、パッチのリリースをチェックします。
ヌリテレコム社のNet-ADMによって、サーバーにリリースのチェックをさせることもできます。各サーバーに勝手にチェックさせることもできますし、システムの規模や構成によっては代表サーバーにまとめてチェックさせることもできます。パッチの内容を日本語で見る事ができるので、英語表示に困ることもありません。
また、パッチを当てる時間を指定できるので、その時間になるとサーバーには自動的にパッチを取りに行って、パッチを当て、それをログに残します。そのログはNet-ADMが取得して管理します。


運用コストの面から見た場合のメリットはどうでしょうか

寺 澤
「コスト」と「リスク」の両方の面でメリットがあると思います。人件費の削減に加えて、人的ミスによるリスクを防げる。例えばセキュリティホールを一つ見逃したり、まずいパッチの当て方をしただけで、情報が流れ出てしまう危険性があるのですが、システム的に行うことによってそのリスクが軽減できる。セキュリティは「ウイルス」「ファイアウォール」「侵入検知」で語られることが多いのですが、「セキュリティ対策(パッチ当て)」も必要なのです。
Qlocエンジンはひとつの機能です。それを全体で括っているのがNet-ADMです。それを組み合わせることで、運用面で大きなメリットが得られるのです。
鈴 木
鈴木氏「セキュリティ」と一言でいっても、やることは山ほどあるわけです。現在セキュアなシステムを運用するのは非常に多くのコストがかかります。システムの運用自体は成熟したメインフレームの運用からオープンシステムの運用へと移り、時間と共に、成熟してきていると思います。そこに新しい課題として、セキュリティというものが入ってきたわけですね。この成熟には長い年数がかかります。経験も必要ですし、啓蒙も必要です。また、運用部門のみならず企業の体質も変わる必要があります。しかし、そんな悠長なことを言っていては、様々なアタックからガードできないわけです。


本当に困っているお客様を垣間見た展示会
Linux対応の管理ソリューションは少ないのですか

松 隈
他社製品でもLinuxに対応している運用管理ソリューションはありますが、Linuxディストリビューションは種類やバージョンが多岐に渡るため、エージェントレベルで幅広く対応出来ている製品は数が少ないといっていいでしょう。

今回10月の「セキュリティソリューション展」にブースを出展したのですが、このソリューションだけを見に来られたお客様が非常に多くいらっしゃいました。自分のお客様のシステムで困っていることや、こういう機能はないのかなどの質問をいただきました。今のところ引き合いはエンドユーザーよりも、システムインテグレータさんの方が多いですね。システムを提案するのに入れておかないと心配だということで。
鈴 木
そういう方は、本当に困っていらっしゃるんですよ。例えばISPなどでサーバーを100台、1,000台と抱えているところは、人が張り付かないとパッチの面倒を見切れません。どうやって責任を持ってサーバーを運用していこうかと、非常に悩まれているのだと思います。
寺 澤
集中型の監視を行うNet-ADMと、プル型のQlocエンジンのような組み合わせは、今回初めてといえます。集中型でかつ全てプッシュ型でやろうと思うと、システムの大きさによって台数分の労力がかかってきますから、構築も大変、運用も大変、適用しても大変です。Windowsのウイルス管理ソリューションでも、パターン定義ファイルを自分で取得して、セキュリティホールのパッチを自分で取得し、その状態を管理するようになっています。これに比べたら、今回のソリューションはパッチの取得も管理も自動的に行いますので、どれほど簡単なのかが分かっていただけると思います。
鈴 木
この11月に開催したセミナーで私は初めてデモを行いましたが、デモを行いながら、「あ、これは楽だな」と、自分で思っていました(笑)。改めて自信を持ってお客様に推薦できます。


Windows 対応にして!
「セキュリティホールパッチ自動適用ソリューション」は9月に発表されたばかりですが、評価はいかがでしょうか

松 隈
松隈氏最初に話が来たのは、ユニアデックスの情報システム部でした(笑)。社内にも何十台かLinuxサーバーが動いているもので。部署内では既に高い評価をもらっています。
寺 澤
Windows Updateがあるにもかかわらず、この自動適用ソリューションをWindows対応にして欲しいという声を聞きますね。LinuxでIAブレードサーバーを積み上げた時に、何台かをWindowsにするケースがあるので、管理する時に別の管理ツールを使わなくて済むように、全部Qlocエンジンにしたいということです。またひとつのLinux上で、仮想で複数のLinuxを動かす時にも使用できます。IBMのZシリーズ(汎用機)では、論理パーティション上で何百というLinuxを動かすことができますが、手作業でパッチを当てるのは困難ですよね。
私は、「是非、パッチ適用はこのソリューションを検討ください。楽ですよ。」と、申し上げたいですね。

今回のソリューションは、松隈さんのアイディアからスタートしました。Qlocエンジンは、いわば水面下でパッチを当てるということで表舞台には出て来ないのですが、それを表で管理しているNet-ADMと組み合わせたらすごく便利だ、というところから始まったのです。
鈴 木
そうですね、もう1年くらい前になりますか。しかも立ち話から迅速に業界初を成し遂げたことはおもしろかったですね。お互い次なる業界初を考えたいものですよ。


【クワンティ株式会社の取り組み(寺澤)】
クワンティ株式会社は「創造」に基準を置いています。遊ぶ時間作りのためにコンピューターはあるべきと考えており、Linuxの修正プログラム適用もコンピューターに任せるべきという単純な発想で開発しました。今後は大学などと連携して、組み込みLinuxなどの機能追加やパッチ適用などを行う製品を、創造していきたいと思っています。

【ヌリテレコム株式会社の取り組み(鈴木)】
ヌリテレコム株式会社は、ネットワークインフラを支えるお手伝いをしたいと思っています。日本の場合、システム運用というと、大型のパッケージが中心でした。リーズナブルな価格で機能を満たすような製品がありませんでした。今後は、企業からホームユースまで視野に入れた運用製品が、インフラとして重要になってきますので、安定したシステム運用を支える製品を開発していきたいと思っています。


TOPSpecial TalkFocusBreak!Back Number

Presented by UNIADEX