IoT機器のセキュリティ脆弱性を防ぐ資産管理とパッチ適用のあり方

エージェントソフトが必要なパッチなどの適用を自動で実行

　こうした機能を提供するのが、HCLSoftwareが提供するクライアント管理ソフトウェアの BigFixである。IoT端末側でエージェントソフトウェアを動作させることで、IoT端末がネットワークにつながったタイミングにサーバーからパッチを取得し自らに適用する。

　パッチをダウンロードする際のネットワーク帯域を制御する。例えば、「ネットワーク帯域の5%をパッチ専用に確保する設定にすれば、通信状況が悪くても IoT機器に確実にパッチを適用できる。帯域を5%までに制限すれば、パッチのダウンロードによるネットワーク負荷を抑えられる」（大野氏）という。

　BigFixは元々、PC／サーバー用の管理ツールだった。これを、IoT機器用の基本ソフトウェアである「Windows for IoT」と「Raspberr y Pi OS」にも対応できるようにした。ちなみに世界では、Windows for IoTを搭載する機器が 5000万台、Raspberry Pi OSの搭載機が 4000万台以上、それぞれ動作しているとされている。

　BigFixのエージェントソフトウェアは、IoT機器のハードウェアやソフトウェアの構成情報であるインベントリ情報を収集したうえで、個々の IoT機器が必要とするパッチやソフトウェアアップデート、新規のソフトウェアなどを選定し配布する。

　Windows for IoT搭載機への BigFixの適用例の1つに、大手銀行における1万5000 台のATM（現金自動預け支払い機）の管理がある（図2）。セキュリティパッチの配布・適用だけでなく、ATMのディスプレイに表示する操作手順の案内画像やコマーシャル動画などもBigFixで配信している。端末のインベントリ情報を把握し自動で対応することで、「運用担当者の作業負荷を大幅に抑えられている」（大野氏）という。

図2：Windows for IoT搭載機にBigFixを利用している例に、銀行のATM管理がある

複数のパッチなどをHCLSoftwareがパッケージ化し提供

　IoT機器へのソフトウエア配布と管理を確実に実行するために BigFixは、「Fixlet」と呼ぶ仕組みを持っている。セキュリティパッチなどの配布ファイルや適用条件などを1つのパッケージとして取り扱うもので、脆弱性対応のパッチが公開されれば、その1〜2日後には HCLSoftwareがFixletを用意し、BigFixの利用企業が運用する配信サーバーに送る。

　利用企業は、必要なパッチなどを対象機器のベンダーから取得する必要がなくなり、運用負荷の軽減と対応漏れを防げる。利用企業自身がパッケージ化した配布物をFixletの配信サーバーを使って配付することもできる。

　Fixletの配信サーバーは 1台で30万台の端末を管理できる。端末から端末へとリレー形式でパッチを配付することで、ネットワーク負荷を軽減している。パッチの適用に失敗した際は、端末側からサーバーにFixletを取得しにいき対処する仕組みも用意する。

　講演では大野氏に続き、BigFix テクニカル・アドバイザー／マネジャーのパンデー・プラディープ・クマール氏（写真2）が登壇し、BigFixのデモを実施した。

写真2：HCLSoftware BigFixテクニカル・アドバイザー / マネジャーのパンデー・プラディープ・クマール 氏

　デモでは、BigFixの管理コンソールのトップ画面であるダッシュボードから、管理している端末の種類や台数、適用すべきパッチの重要度などのほか、選択した特定の端末が、どのような状況で稼働しているかが確認できた。

　端末へのパッチ適用は、エージェントソフトウェアによる自動運用が基本だが、管理コンソールからも個々の端末に対し、さまざまな制御ができた。

お問い合わせ先

株式会社エイチシーエル・ジャパン

お問い合わせ：：https://www.hcljapan.co.jp/software/