2014年になってからOpenSSL、Struts、Internet Explorerなどで脆弱性が多く発見され、Linuxも日々脆弱性が発見されています。早急に脆弱性対策を実施しなければ、脆弱性を利用した攻撃にシステムが晒されることになり、情報流出やシステムダウンといった大きな影響が出る可能性が非常に高くなります。脆弱性対策はパッチを適用する事が最も有効ですが、パッチを適用するにはOSの再起動が伴います。稼働中のシステムに対してパッチを適用する場合は、メンテナンスを行う時間を設けた上で、具体的には図1に示す手順に従ってパッチを適用します。

こうした手順を踏む必要があるため、実態として脆弱性を発見してからパッチの適用までに時間がかかり、メンテナンス作業に多くのコストがかかるという課題があります。またIPAの調査^参考1では、外部公開をしているサーバーの7.4%がセキュリティパッチの適用を行っておらず、その理由の一つは「パッチの評価や適用に莫大なコストがかかる」となっています。

パッチの適用にかかるコストを減らす技術として、Red Hat社がOSS（GPLv2）で開発をしているkpatch^参考2という技術が注目されています。これは、動的にカーネルにパッチを当てるための技術（Dynamic Kernel Patching）です。まだ開発段階ですが、パッチ適用時に再起動を行う必要が無くなるため、前述した課題の解決が期待されています。

また、kpatchと同様の機能を持つKsplice^参考3やkGraft^参考4も登場しており、カーネルへの動的なパッチ適用に向けた技術の注目度の高さが伺えます。本稿ではkpatchの仕組みについて簡単に説明します。

kpatchは、図2のようにカーネルが提供するモジュール（関数）が呼び出された際、ftraceを使ってセキュリティパッチ適用後のモジュール（関数）を呼び出すという仕組みです。具体的には以下の手順で処理が行われます。

kpatchのメリットは大きいですが、以下のようなデメリットもあります。

動的にカーネルにパッチを適用する技術により、メンテナンス準備に要していた時間・作業を削減する事ができるようになります。ただし、この技術はまだ発展段階であるため、最新動向を注視しながらシステムに適用していく事が求められます。NTTデータでは、動的パッチ技術を用いたメンテナンスコストの削減について、実利用に向けた技術検証を行っています。