🧕🏾 🤾 🐰 パッチ管理。毎月のソフトウェアアップデートのテスト 😙 👨🏽‍🚒 🚵🏻

この記事の内容は、MicrosoftおよびAdobe製品の5,000以上の更新プログラムをインストールした経験に基づいています。

パッチ管理はソフトウェアの更新（ソフトウェア）を管理するためのプロセスであり、これがないと、ITインフラストラクチャのセキュリティについて考えている少なくとも1つの現代の企業は実行する可能性が低くなります。

更新またはパッチは、ソフトウェアで検出された欠陥を修正したり、機能を変更したりするために使用される追加のソフトウェアツールです。

更新には2つのタイプがあります 。

適切なレベルのセキュリティを維持し、セキュリティホールを排除するために使用されるオペレーティングシステムおよびサーバーソフトウェア。
頻繁に使用される、または重要なライブラリやソースコードの他の部分の問題を解決するために必要なアプリケーションソフトウェア（Microsoft Office、Adobe Acrobat、ビジネスアプリケーションのクライアント部分など）用。

とりわけ、適切なレベルの情報セキュリティを維持するための更新とそのタイムリーなインストールの重要性は明らかです。ただし、あるアプリケーションの脆弱性のパッチが他のアプリケーションに重大な誤動作を引き起こしたという悪名高い歴史があります。以下に例を示します。

Microsoftの毎月の更新により、 VMWareがクラッシュしました（2011年2月8日）。
MicrosoftがリリースしたInternet Explorerのアップデートには、 2つの脆弱性が一度に含まれていました。ブラウザの誤動作と、ハッカーがブラウザのユーザー権限で脆弱なマシンでコードを実行できるバッファオーバーフロー（2006年8月8日）;
Microsoftの12月の更新は、OpenTypeフォントの使用における深刻なセキュリティ上の欠陥を修正するために設計されました。この更新プログラムは、PowerPoint、Quark Xpress、およびCoreldrawのユーザーに影響を及ぼしました。リリースされた更新プログラムでは、プログラムが15ピクセルを超えるOpenTypeフォント文字を認識できませんでした（2012年12月12日）。
カーネルモードドライバー用のMicrosoft更新プログラムをインストールすると、2014年8月にユーザーのコンピューターに死のブルースクリーン（BSOD）が表示されました。
PowerPoint 2013オフィスアプリケーションの更新により、アプリケーションを起動できなくなりました（2015年2月10日）。

更新プログラムの適用によるこのような不快な結果は、ビジネスのダウンタイムとお金の損失につながり、このリスクは消えていません。ただし、開発会社が更新プログラムを展開する前に慎重にテストすることで、トラブルを回避できました。

マイクロソフトは、毎月のセキュリティ更新プログラムのテストが不十分であるという批判に繰り返し直面しています。これに対応して、企業の代表者は、更新をテストするためのサービスを「外部」ユーザー、つまりマイクロソフト以外の従業員に譲渡することにより、新しいテストスキームに切り替える計画を明確にしました。

実際、この問題を開発会社の目で見ると、開発者側で更新プログラムをテストするのはかなり時間がかかることが明らかになります。各更新は、製品の消費者のワークステーションおよびサーバーで動作する条件に可能な限り近い条件でテストする必要があります。たとえば、アドビは更新のテストに毎月最大6,000時間を費やしています。

しかし、人生が示すように、開発会社によるテストだけでは、世界中のユーザーの100％に十分なことはありません。したがって、次のソフトウェアの更新によって企業のビジネスプロセスが停止するリスクは残ります。一方、更新しないことも不可能です。会社に害を及ぼす可能性のあるハッカーに対して脆弱になる可能性があるからです。

これらのリスクを大幅に削減する方法として、大企業は更新をバッチ（リリース）で定期的にインストールし、更新を会社全体に展開する前に更新を強制的にテストすることを選択します。

更新管理方法

更新管理方法は、更新をテストする方法と、更新を含む更新プログラムを展開する方法を組み合わせたものです。それらについてさらに説明します。

更新をテストするための2つの最も一般的なアプローチは次のとおりです。

ローカル仮想マシンでのテスト。
完全なテスト環境でのテスト。

最新のテクノロジーにより、追加の機器を使用せずに仮想化を使用して更新をテストすることができます。仮想マシンおよびネットワークを作成するために最も一般的に使用されている製品：VMwareまたはOracle VirtualBox。仮想化の利点は次のとおりです。

仮想マシン自体を作成するのに多くの時間は必要ありません。
1つの物理プラットフォーム上に複数の仮想マシンがある場合があります。
各仮想マシンには、メモリ、プロセッサ、ハードドライブ、ネットワークアダプタなどの独自の仮想ハードウェアコンポーネントがあります。
そして最も重要なことは、マウスのワンクリックでシステムの現在の状態とディスクの内容の「スナップショット」を取得し、非常に短い時間内に初期状態に戻ることができることです。。

原則として、仮想化テクノロジは、ワークステーションの数が45〜70以下の小規模ネットワークに使用されます。

また、数台の企業コンピューターまたはいわゆるテストクライアントを使用するだけで、変更管理プロセスを簡素化できます。このようなクライアントに必要な更新をインストールし、インストール後にシステムをテストすることにより、ITインフラストラクチャへの影響を最小限に抑えながら、変更の結果と更新の適用結果を確認できます。完全なテスト環境を使用したテストは、大規模な産業用ネットワークに適用可能であり、高いテスト純度を保証します。本格的なテスト環境でテストする場合、アップデートをインストールするための同じアプローチと、アップデートを管理するためのツールが産業環境で使用されます。そして今、私たちは彼らに目を向け、同時に更新を伴うリリースを展開するアプローチを検討します。

更新管理ツール

原則として、ITインフラストラクチャのリモート管理に広く使用されているすべてのソフトウェアソリューションは、次のような更新を管理する機能を提供します。

System Center Configuration Manager（SCCM）-Microsoftソフトウェア製品。
Unicenter Software Delivery-Computer Associatesのソフトウェア製品。
OpenViewはHewlett-Packardソフトウェア製品です。

大規模な産業用ネットワークでの需要と使用のリーダーはSCCMです。したがって、例を使用して更新管理の実装の詳細を説明します。

Configuration Managerを使用して更新を管理する原理は非常に簡単です。管理対象のSCCMシステムはすべて、サイトにグループ化されます。サイトに含まれるもの：

サイトサーバー。
インフラストラクチャ管理で特定の役割を実行するサイトシステム。
実際に管理されるクライアント。

各サイトサーバーは、Microsoft SQL Serverデータベースにアクセスできる必要があります。

更新サーバーは、 Windows Server Update Services（WSUS）を使用します。マイクロソフトのWebサイトと同期し、企業LAN内で配布可能な更新をダウンロードします。これにより、会社の外部トラフィックが節約され、ワークステーションのWindowsオペレーティングシステムにバグ修正と脆弱性を迅速にインストールでき、サーバーとワークステーションの更新を一元管理できます。

ここで、WSUSサーバーはMicrosoftによってリリースされた更新プログラム専用であることに注意してください。

ただし、別の更新サーバーがあります。MicrosoftのSystem Center Updates Publisher（SCUP）を使用すると、サードパーティのソフトウェア更新を管理し、それをWSUSサーバーにインポートし、SCCMを使用してクライアントに展開できます。

パッチ管理プロセスの段階

更新管理プロセスは、いくつかの段階で構成されています。

テストクライアントトレーニング

オペレーティングシステムのイメージは、アプリケーションを含む更新プログラムのテスト、および以前にテストされた更新プログラムの承認のためにマシンに展開されます。次回オペレーティングシステムが起動すると、承認された更新プログラムのデータが自動的にインストールされます。
更新シートを作成する

テスト環境で新しい更新プログラムをインストールする準備が整うと、更新シートの作成、またはSCCMで呼び出されるパッチリストの作成が開始されます。

パッチリストには、「必須」の定義に適合する今月リリースされた更新が含まれています。クライアントの更新の必要性は、SCCM自体によって決定されます。ロジックは単純です。Visioアプリケーションがクライアントにインストールされ、今月Visioの更新プログラムがリリースされた場合、このクライアントには同様のパッチが「必要」になります。

オペレーティングシステムとサーバーの更新に関しては、ここでの必要性は、それらの容量とWindows Service Packに応じて決定されます。

パッチリストが作成された後、選択されたすべての更新を含む新しいパッケージが形成され、テストクライアントが追加されるコレクションにパッケージが割り当てられます。
テスト環境での展開（LAB Deployment）

パッケージがコレクションに追加されると、SCCMはこのコレクション内のクライアントに新しいタスクが割り当てられたという情報を受け取り、テストマシン上のSCCMクライアントと同期し、展開が開始されます。この手順には数分しかかかりません。その後、タスクバーの通知領域に対応するアイコンが表示されます。アイコンをダブルクリックすると、Configuration Managerが開き、アップデートを選択した後、インストールが開始されます。通常、インストールはシステムを再起動する要求で終了します。その後、テストはタスクから始まります。システム/システムコンポーネントを破壊するパッチを見つけるか、存在しないことを確認します。

基本的に、再起動後のログインはすでに検証ポイントの1つです。システムに入る際に警告/エラーがないことが重要です。さらにテストは、特定のテストマトリックスで実行されます。テストマトリックスに含まれるチェックは、主にテスト対象のITインフラストラクチャのソフトウェアに依存します。テストの詳細については、以下のセクション「テスト段階」で説明します。
パイロットユーザーへの展開（PRE展開段階）

PRE展開段階では、テスト済みの更新プログラムのリストが準備され、SCCMを使用してパイロットユーザーのクライアントに送信されます。原則は同じです。更新パッケージがパイロットクライアントのみを含むコレクションに追加され、SCCMはこのコレクションのクライアントに新しいタスクが割り当てられ、展開が開始されるという情報を受け取ります。

原則として、パイロットクライアントとして、

彼らは責任のあるソフトウェアに精通しており、更新プログラムのインストール後にアプリケーションが正常に動作するかどうかを確認します。通常、パイロットに参加するユーザーの数は、ネットワークワークステーションの数によって異なります。

PRE展開段階は4日間続き、その後パイロットユーザーがフィードバックを提供します。ソフトウェアがインストール済みアップデートと競合する場合、後者はリストから除外されます。したがって、更新の最終リストが作成され、産業用ネットワークのすべてのワークステーションにインストールされます。
テスト済みの更新プログラムを運用情報環境に展開する（PRO展開）

SCCMを使用したPRO展開の段階で、テストおよびパイロットクライアントと同じ原理で発生します。この場合、展開の開始時刻と終了日が設定されます。

テスト手順

前述のように、テストはテストマトリックスに基づいています。以下に、このようなマトリックスに通常含まれる基本的なチェックの説明を示します。

インストールのテスト 。テストクライアントへの更新プログラムのインストールは、SCCMによって開始されます。原則として、アップデートをインストールした後、システムを再起動する必要があります。したがって、最初のチェック：システムを再起動し、テストアカウントで再起動した後にログインし、システムのエラーメッセージ/警告がないことを確認します。

次の手順は、PATHシステム変数を確認することです 。 PATHに問題を引き起こす可能性のある文字や記号が含まれていないことを確認します。

3番目の手順は、システムイベントログ（イベントビューアー）を確認することです。 更新のインストールに関する情報は、ID 19のログに書き込まれます。このチェックにより、すべての更新が正常にインストールされ、エラーがないことを確認できます。

次に、 オフィスアプリケーションをチェックします 。原則として、オフィス検証は、パッチ管理プロセスのすべてのテストマトリックスと交差します。

Officeチェックの簡単な例：

Word、Excel、Power Point、Publisher、Accessを起動します。
アプリケーションがエラーなしで開くことを確認します。
ドキュメントに変更を加え、保存の質問を閉じるときにドキュメントがデフォルトでドキュメントフォルダーに保存されていることを確認します（別のデフォルトストレージ（デフォルト）が提供されていない限り）。

このサンプルOfficeチェックは基本的で一般的なものです。マトリックスには、より複雑な詳細チェックが含まれることがあります。たとえば、MS Wordを開いてドキュメントを保存することに加えて、[スペルチェックと文章校正]タブなどで[スペルチェックと文章校正]チェックボックスがオンになっていることを確認する必要があります。

最も一般的なチェックの1つは、更新中のAdobeアプリケーションもチェックすることです。 Adobe Flash Playerの最低限の確認は、サイトでこのソフトウェアのバージョンを確認することです。アップデートがAdobe Reader用である場合、バージョンがチェックされ、アプリケーションの状態がチェックされます。

ブラウザのパフォーマンスの確認も、基本的なもののリストに含まれています。パッチはプロキシとActiveXの設定を変更しないでください。これもテスト中に確認されます。

さらに、システムの更新プログラムの一般的な影響に注意する価値があります。既にテスト済みの更新プログラムが既に含まれているテストクライアントを準備する段階で、上記のテストが実行され、そのようなテストの結果が標準として採用されます。

新しくインストールされたパッチの前の状態からのシステムの逸脱が分析され、場合によっては、システムに望ましくない変更をもたらすパッチを除外する決定を下すことができます。

有用な時間を節約するために、VBScriptを使用していくつかのチェックを自動化できることに注意してください。たとえば、

オフィスアプリケーションオブジェクトの作成、プログラムファイルのオープン、変更、保存。
ブラウザを起動してWebページに移動します。
イベントビューアーのログをExcelテーブルにアップロードする。

要約すると、合理化された更新管理プロセスにより、更新プログラムの適用の成功を事前に確認し、必要なレベルの情報セキュリティを提供する更新プログラムを常にインストールすることで、インフラストラクチャの信頼性とパフォーマンスを維持できることを再度強調したいと思います。

投稿者： Alisa_Khaliullina

パッチ管理。 毎月のソフトウェアアップデートのテスト

More articles:

パッチ管理。毎月のソフトウェアアップデートのテスト