英語版ブログ Major US Bank Implements BigFix to Fulfill Regulator Requirements の翻訳版です。
大手米国銀行が規制要件対応でBigFixを展開
2020年1月21日
著者: BigFixチーム
概要
米国連邦政府は米国のある大手銀行に対して、銀行のパッチ・プロセスと報告に十分でないとして、多額の罰金を科しました。その銀行では、Microsoft SCCMやTaniumを含むいくつかの異なるパッチ・ツールを「使用」していました。また、規制当局は、その銀行がオペレーティング・システムとビジネス・アプリケーションに対して完全にパッチが適用され、準拠していることを確認するための統合レポート・ソリューションを「所有」しているとも述べました。その結果、BigFixは以下にように実装されました。
さらに、銀行はHCLと契約して、150以上のサードパーティアプリケーションを監視し、それらのアプリケーションのパッチまたはアップデートがリリースされるBigFix Fixlets™を構築しました。
この問題は、一貫性を持って見られておらず、議論されていない領域であることを示しています。
検証
検証とはどういう意味でしょうか。1つの定義は、「何かの妥当性または正確性を確認または証明するアクション」です。システム管理の観点から、検証とは、アクションが期待どおりに実行され実行されたことを確認する行為です。
データ侵害の発表頻度が増加していることから明らかなように、タイムリーで正確なパッチ管理はますます重要になっています。ただし、パッチ検証の重要性についても、同様に批判的な目での議論が必要です。
現在のパッチソリューションが、パッチが適切にインストールされたことを検証する方法をご存じですか。Windows Updateエージェントからの終了コードをチェックしますか。それともレジストリをスキャンして、パッチのナレッジベース(KB)番号がリストされているかどうかを確認するだけですか。パッチKBがインストール済みとしてリストされている場合はどうなりますか。しかし、適切に展開およびインストールされていないということはありませんでしたか。これが発生すると、セキュリティに対する誤った感覚が生じ、セキュリティー・リスクが劇的に増大します。
BigFixパッチの展開
BigFix Patchは、パッチが適切にインストールされていることを検証するために他のツールに依存しません。実際、BigFix Patchはパッチを展開するために他のソフトウェアに依存しません。
Microsoftがパッチをリリースするシナリオを見てみましょう。BigFixチームは、パッチをデプロイするために必要なコンテンツと、パッチが正常にインストールされたことを検証するために必要な手順の両方を含むFixlet™を生成します。このコンテンツはBigFix Content Serverに公開されます。ローカルBigFixサーバーは、BigFix Content Serverからコンテンツを自動的にプルし、新しいコンテンツがあることをBigFixクライアントに通知します。これにより、クライアントはFixlet™を即座に評価し、パッチと関連性があり必要とする場合にのみローカルBigFixサーバーに報告できます。
BigFix運用者は、どのシステムにパッチが必要かを確認するだけで、パッチを手動で展開するか、自動パッチポリシーを作成して展開を自動化および高速化するかのオプションがあります。ターゲットに設定すると、BigFixクライアントは、パッチがまだ適用する必要があることを確認し、関連する場合はパッチをダウンロードしてインストールします。
BigFixパッチ検証
BigFixパッチ検証は重要な差別化要因です。パッチが展開されると、検証プロセスが開始されます。BigFixは、関連性があると判断したパッチについて、同一性チェックまたは複数のチェックを使用して、パッチが適切に展開・インストールされたことを確認します。例として、バージョン1.1のダイナミックリンクライブラリ(DLL)ファイルにパッチを適用する必要があるとチェックが判断した場合、検証プロセスは同一性チェックを使用して、パッチを当てたDLLファイルがバージョン1.1でないことを確認します。パッチ検証チェックはFixlet自体の一部であるため、手動で作成された検証チェックは不要であり、不注意によるエラーを回避します。
概要
パッチの展開は重要ですが、パッチが適切に展開されていることを検証することは、企業全体のセキュリティ態勢を改善するために重要です。市場にあるいくつかのツールには、パッチのステータスとコンプライアンスを正確かつ一貫して報告する機能がありません。BigFixは、BigFixの動作方法、信頼性と拡張性の高いアーキテクチャー、およびWindows、Linux、UNIX、macOS環境のマルチ・プラットフォーム・サポートにより、この点で高く評価されています。パッチの検証は、パッチのステータスとコンプライアンスについて明確に報告します。これが、米国の大手銀行がBigFixに投資して政府規制当局を満足させ、罰金を回避する理由です。また、組織がBigFixを実装して、現在展開している他のパッチ・ツールの価値を高めたり、機能を拡張したりする理由も示しています。
著者: Dennis Jensen 編集者: Dan Imbach
さらなる情報
BigFixパッチはBigFixライフサイクルおよびBigFixコンプライアンス製品オファリングに含まれています。www.BigFix.com にアクセスして、デモをスケジュールするか、試用版ソフトウェアをダウンロードしてください。