パッチ適用目的で、Microsoft Configuration Manager が BigFix に置き換えられた理由

2020/8/13 - 読み終える時間: ~1 分

タイトルどおりの内容です。英語版ブログの記事 How BigFix Displaced Microsoft Configuration Manager for Patching の翻訳版です。


パッチ適用目的で、Microsoft Configuration Manager が BigFix に置き換えられた理由

2020年8月10日

著者: Donald Moss / Technical Advisor BigFix Team

画像の説明

Don Moss は、BigFix チームのテクニカル・アドバイザーです。Don は、LANDesk(現在はIvantiとして知られている)に勤務していた 2012年に BigFix を使い始めました。HCL Software に入社する前は、IBM Security でセキュリティ・ソリューション・アーキテクトおよびサイバーセキュリティ・エンジニアとして勤務していました。 彼のクライアントの一人が、Microsoft Configuration Manager(SCCMと呼ばれることが多い)を BigFix に置き換えた理由について、最近の話を紹介してくれました。

多くのクライアントは、エンドポイント管理活動に圧倒されていることが多い。多くのバージョンのオペレーティング・システムにまたがる多数のパッチのために、ほとんどの IT 運用およびセキュリティ組織は多忙を極めています。OS は Windows が主流であり、Microsoft Configuration Manager(SCCMとも呼ばれる)は、Windows OSとMicrosoft Office にパッチを当てるための最も一般的な管理ツールです。CIO が SCCM を導入するのは、Microsoft Enterprise License Agreements とパッケージ化されているため、「無料」だからです。しかし残念なことに、これまでにも問題が発生しており、その解決策を悩ませているものもあります。その結果、BigFix は組織のパッチ適用やコンプライアンス業務の改善を支援しています。このブログでは、私の最近のクライアントのひとつが SCCM を BigFix に置き換えることを決めた理由を説明します。

私のクライアントは、米国、ラテンアメリカ、ヨーロッパ、中東、アフリカ、アジアにオフィスや工場を構える、消費者向け製品や業務用製品の製造、販売、販売を行っている企業です。同社は、これらの地域で約5万人の従業員を雇用しており、24時間365日のエンドポイント管理業務を必要としています。

HCL は、脆弱性スキャン中に欠落したパッチを発見したために、IT オプスチームがセキュリティオプスに殴られていることを知りました。BigFix チームは、その真偽を確かめるための支援を依頼されました。厳選されたサーバー群を並べて比較したところ、SCCM は70~90%のコンプライアンスを報告していましたが、BigFix は 40~50%のコンプライアンスを報告していました。より詳細な調査では、BigFix は過去 3ヶ月間にリリースされたパッチだけでなく、5~6年前のパッチが見つからないことを発見しました。 IT 部門とセキュリティ部門は、BigFix のパッチ発見の正確性を検証しました。

次に、私のクライアントは、企業の経営陣が望んでいながら SCCM からタイムリーに入手できなかった自動レポートを、 BigFix を使用して作成するように私に言いました。例えば、IT部門では、パッチを当ててから6時間後でも、ほとんどのエンドポイントに「不明」のパッチステータスが表示されていることがよくありました。8日以上経っても、完全なパッチステータスレポートを SCCM から入手することはできませんでした。同様のテストでは、BigFix は数分以内にほぼリアルタイムでパッチの進捗状況を表示することができました。私は、BigFix のレポートの幅広さと幅の広さを示すことができ、CIO や CISO に対して、カスタムレポートのニーズが BigFix によって簡単に提供できることを示すことができました。

BigFix の効率的なパッチ適用機能は、SCCM が提供していたものよりも、全体的なセキュリティ態勢を改善することが明らかだったため、BigFix の投資収益率(ROI)は疑問視されることはありませんでした。ほとんどのセキュリティインシデントは、既知ではあるがパッチが適用されていない脆弱性によって引き起こされているため、エンドポイントにパッチが適用されていないエンドポイントを持つことは、セキュリティリスクが大きすぎて会社には余裕がありませんでした。BigFix は、場所、接続、ステータスに関係なく、すべてのエンドポイント(ローミングラップトップを含む)にパッチが適用されていることを、自信を持って役員に示すことができました。

この POC は非常に成功したため、私のクライアントは、発注を迅速化しながら脆弱性のあるサーバーへのパッチ適用を継続できるように、POC を延長するように依頼しました。そうすることで、クライアントはパッチ適用を簡素化し、サイバー攻撃に対する防御力を向上させることができました。

脆弱性スキャンで不足しているパッチを発見していませんか?その場合は、BigFix チームに (日本での窓口はこちら) 連絡してデモを依頼してください。

このブログについて

HCL Japan の Software 部門の複数担当者で HCL Software 全般について記しています。