TOP
>
サーバ構築・運用
> Qloc EngineとqeMOTHERserver
サーバOSの脆弱性対策
パッチ適用を自動化せよ!
著者:
クワンティ 寺澤 陽一郎
2007/6/27
前のページ
1
2
3
Qloc EngineとqeMOTHERserver
これまで述べたことを考え合わせ、パッチ配布と適用の仕組みをシステム化したものが「Qloc Engine(クロック・エンジン)」と「qeMOTHERserver(マザーサーバ)」だ。
まず、このツールの特徴は人が行った方が良い作業は機械化していない点である。そして、機械化が有効な部分を機械化して人の手を煩わせず、漏れや作業ミスが発生しないシステムとしている。
クロック・エンジンとマザーサーバの仕組み
パッチ配布者はバイキング料理形式のようにテスト済みパッチを所定の位置に置くだけでよい。あとは保守対象のサーバ側で自動的に必要なパッチの判定/取得/適用し、場合によっては再起動まで行ってくれる(ソフトウェア更新の仕組みは、クワンティが特許認定を受けている)。
図4:クロック・エンジンの仕組み
(画像をクリックすると別ウィンドウに拡大図を表示します)
Linuxサーバ向けパッチ適用ツールのマザーサーバは、センター側とパッチ配布者のパッチ格納場所を兼ね備えたソフトウェアである。クロック・エンジンは保守管理対象のLinuxサーバごとにインストールするモジュールアップデータにあたる。
マザーサーバ側の主な作業は、パッチ対象となるLinuxサーバのクロック・エンジン初期設定時にライセンスの発行とサーバOSのバージョンや組み合わせアプリケーシュンに合ったパッチ格納先との関連付けを行う。
配布するパッチリリース時には、所定の場所にパッチをFTPなどで格納して、格納パッチ一覧の最新化を行う(メニューから最新化ボタンのクリック)。
これにより、マザーサーバからの一括起動もしくはパッチ対象のLinuxサーバのクロック・エンジン個別起動でクロック・エンジンがマザーサーバと交信し、自動的に自機に適用が必要なモジュールの判定からパッチの取得、適用まで実行するのである。実行結果はクロック・エンジンの実行ログに書き出されるので、統合システム管理ツールと組合せて運用するとさらに管理効率があがる。
図5:システム全体の動き
(画像をクリックすると別ウィンドウに拡大図を表示します)
クロック・エンジンの利用方法は3通りある。
マザーサーバを運用してクロック・エンジン導入ユーザへサービスを提供する
マザーサーバとクロック・エンジンを導入して特定システム保守に利用する
クロック・エンジンのライセンス購入してパッチ適用のサービスを受ける(1のサービスを受ける)
表3:クロック・エンジンの利用方法
そのほかに、クロック・エンジンはLinux上で稼動するアプリケーションのパッチも同時に適用できる。また金融機関など外部インターネットとの接続が禁止されている場合には、LANやVPN(Virtual Private Network)内にマザーサーバを配置して運用することも可能だ。
最後に
クラックされる最大要因は脆弱性対策パッチの未適用である。ファイアウォール設定などゲートウェイでの防御と合わせ、自社システムにあったサービスを選択するなり、ツールを導入するなどして効率的で確実なパッチ適用を行っていただきたい。いずれにせよ
「パッチ適用しない」という選択肢はない
のだ。
前のページ
1
2
3
著者プロフィール
クワンティ株式会社 寺澤 陽一郎
代表取締役
日本システム技術(JAST)にて大型汎用コンピュータの業務システム設計・開発、Windows NT・ORACLE利用の業務ソフトウェアパッケージの企画・業務分析・設計・開発・ユーザ教育・運用保守・バージョンアップまでのライフサイクル全て経験。2000年クワンティ株式会社設立、代表取締役就任。産学協同でオープンソース(Linux)利用と安全性向上を研究・製品開発でオープンソースの普及とビジネス利用に貢献。
INDEX
パッチ適用を自動化せよ!
クラックの最大要因とは
パッチ適用における管理者の負担
Qloc EngineとqeMOTHERserver
