きりがない話ですよね〜。これは。Windows updateしたところで、サードパーティ(Microsoft以外)のソフトウエア側で脆弱性(セキュリティホール)が見つかり、そこがたまたま悪用されPCにこっそり侵入されてしまう、という問題。
色々な製品があって、対策も色々で、どこまで行うか?という問題。数千人以上の企業とかだと、CrowdStrikeを使って、インストールされたAgentから脆弱性情報収集を行い、脆弱性リスクのスコアリリングから保護していくという機能もあると推測しています。ちょっと高価そうなので調査しておりません、申し訳ないです。この製品がはいっていれば、検疫パッチ的にマシンが保護されるんでしょうけど、かじってみたいな〜。宣伝をマージンに安く提案してきてくれないかな〜(笑)
中堅、中小企業だとセキュリティにそんなにお金はかけられない、まして、情シス人数不足というヒト問題も直面化している中で、いかにスリムな管理ができるかが必要になってきます。スリムな管理は、マネジメントも、コストもスリムに魅力がある、ってことですね。
私が過去に利用したことがある製品で、少ししゃべってみます。
Kaspersky Vulnerability and Patch Management (KVPM) 、カスペルスキー社の製品は画期的でした。ウクライナの問題がなければ、この製品で管理していましたね。検証評価していた当時、Windows update等の巨大アップデートの場合、非圧縮でアップデートファイルが展開されるという問題があったため、複数のVPN拠点がある場合、非常にリスクが高い製品でもありました。ただ、PCをパッチ配信子機に設計することも簡単だったため、良い製品には変わりありません。またパッチ対応可能なリストも公開されており、社内展開時にオフライン配布として一旦サーバーにダウンロードしておく、ということも可能でした。さらに、自身のソフトウエア、KasperskyのEPPとかも一緒に脆弱性対策ができるので、まさに、ゼロトラストのための脆弱性管理ツールとして言える製品です。IT資産管理ツールではないので、PCのソフトウエア状況はなめずに管理するという製品だったかと思います。WSUSの代わりに利用する、ということがメインだったかもしれません。
このウクライナ問題で、富士通のSystemwalker desktop patrol的な製品を探して見つかったのが、ZOHO ManageEngine Patch Manager Plusだった。前者のdesktop patrol、初めて触った頃は、AD (Active Directory) 環境がまだ勤務先になくworkgroup環境で過ごしていた時期、WSUS的な製品でWindows udpate管理したいな、という思いから触った製品。workgroup環境だったのが致命傷で、運用に難があったという過去の話。そして勤務先で初めて入れたサーバーが富士通のPrimergyだったと思う。 その縁で、Eternusというストレージのバックアップ機能である、OPC (One Point Copy) というすごい処理に出会った。OPCって、全データを差分無視して複製する凄い機能で、これが短時間で行われる。この凄い機能を超えた製品をまだ見たことがない。サーバ絡みで、HPEのiLOという凄いツールにはまり、HPEをがんがん入れた時代があった。今はNutanixで可能な限り仮想基盤で運用、という方向に至っています。
Windows 10の通常サポートが終了(2025年10月14日)した今日、次のサポート終了バージョンは、Windows 11 ver.23H2。これは2025年11月11日にサポート終了。Windows 11は、2年ごとにメジャーアップデートがあり、サポートが短いのが痛手。最近では、ゼロトラストの考え方を強引にセールス武器とし、サーバーにもWindows updateしとけよ!という雰囲気が漂っています。特に、Windows updateをやっておきたいサーバーは、ADサーバ。サイバー攻撃から不正侵入されたら、まず攻撃者はADサーバを見つけ乗っ取るという行為に走る。特権ユーザーの認証情報なんて、脆弱性から昇格できるケースもあるわけなので、そういった脆弱性から取得するんだと思います。
ADを奪ったらファイルサーバー。ファイルサーバのデータをオンラインストレージ経由で転送し終わったら暗号変換し、じゃあね!というのがランサムウエア攻撃。最近では、暗号変換しない代わりに、盗んだデータを公開されたくなければ、カネ払ってね、と二重脅迫するような攻撃手法もあったりするけど、どっちも嫌ですね。ランサムウエア対策って、ほぼ不可能なんじゃないかな〜って思っている矢先に、面白い製品を見つけた。Nutanix DataLensだ。ランサムウエア対策であって、マルウエア等のウイルス対策は実施してくれない悲しいツール。このDataLensも、NutanixのファイルサーバであるFilesに対して有効なので、広くは進められないけど、ファイルサーバ管理って大変だよね、なんかない?といった際には是非とも紹介できる製品だ。これも、どこかの投稿で話しましょう。
話は戻し、WSUS廃止でしょ?マイクロソフトさん、という話題です。2024年、MicrosoftはWSUSを廃止するという計画を明らかにしています。これを受け、WSUS使えなくなる前に、早く別の製品にのち変えよう、というトレンドが走っています。いつ無くなるのかは明記していませんが、旧に話が変わってくると思うんだ〜。ドメインコントローラーの話、ADサーバを作る時、.local で作れば?というマニュアルが公式からアナウンスされていた。けれど、mDNS絡みで、ADサーバは、今後は.localドメインでは作ってはだめだよ、という方針の方向転換が始まった。勤務先では2つのドメイン環境を並行稼働させ、どっかのタイミングで.localドメインの利用を終了するという策を立てました。これが、実は最近だったりするんですよね。立てるのはいいけど、辞めるのは大変。.localのADサーバー停止宣言を2023年ごろにして、なんやかんやで、2025年まで持ちこたえた。けれど、.localのADサーバーと連携しているサーバーも多くあるので、表向きではもうメンテナンス終わったよ、と言いながら、裏でこっそりメンテを時々する、という状況になっています。
そんなわけで、システムを入れるのは、後々のことも考えなきゃいけないですよ!というのが肝です。販売店から、これは便利だから入れた方がいいですよ!という話をうけても、後々を考えて、入れるべきか十分検討する必要があると思います。昭和・平成時代でのスキルのある技術者って、令和になって本当に減ったと思う。なんでも屋さんから、専任担当者的な、この分野はわかるけど、あの分野は担当外だから分からないよ、というヒトが非常に増えている気がします。メーカーのSEとかの作業レベルを見ても、とんでもなく凄い人って、本当に少数になったな〜と感じます。
昔はよかったけど、今は昔のようにはいかない。のちのちを考えた際、これは仕事まわんないな、仕事を渡すなんて、ちょっと難しいな、と思ったら「製品選定に対し、一呼吸いれて、考え直すべき」です。製品選定は十分、次の人に渡しても満足いく製品を選ぶべきです。嫌な会社なら、面倒な製品を入れて、引き継ぎさせ、さっさと会社を出る、という案が良いのかもしれません(笑)
2025年10月のWindows update(KB5066835)では、HTTP.sys絡みの不具合が発生しIISでlocalhostに対して通信しているアプリに影響を引き起こすというのが発生しています。
(参考)IIS websites might fail to load(Microsoft)
こういった時に、やっぱりサーバって、すぐにパッチ適用は怖いよね、というのが現在の問題。サーバを仮想化するというのは、本当に一部の金持ち会社だけ、という時代だった頃は、物理サーバで本番環境に適用するって、不可能レベル。バックアップサーバを更に物理サーバで立てて管理する?二重投資はねぇ…。。。という問題もあった。昔は物価が安く、物理サーバーって、数十万円で買えた。今では、軽く100万円超えるけどね。十数年前と比較し、物理サーバーは2倍ぐらい跳ね上がっているんじゃないのかなぁ、と思います。そのほか、ソフトウエアも値上げされているから、全体的に2.5倍ぐらい値上がりしているんじゃないかな。だけど、物理サーバの故障率が減り、FAサーバでなくても7年保証というのが出ていたりするんで、考え方次第で、どうにでもなる時代なのかもしれません。
PCでぽしゃった場合はリカバリすりゃいいよね、という考え方だけれども、サーバだと非常にリスク。サーバをリカバリしたところで、システムは作り直し?バックアップデータからリストアする?これってリスクだよね。バックアップデータが果たしてリストア成功するとは限らない。これが現実。だから、サーバーは、Windows udpateとかのアップデートができなかったのが一般的ではないでしょうか。
今は大小限らず、不正アクセスされる時代。脆弱性があると入られる可能性が高い!言い換えると、一旦入られてしまうと、脆弱性があれば、更に深く侵入されてしまう可能性があるわけです。これをどうにか防ぐ必要があるよね、というところで、サーバーにもWindows updateしなきゃいけないねという流れで一旦締めくくりたいと思います。