Windowsパッチ管理を一括管理して脆弱性対応をマネジメントする

クライアント管理ソフト

ManageEngine >  クライアント管理 Endpoint Central  >  機能 > パッチ管理 > Windowsパッチ管理を一括管理して脆弱性対応をマネジメントする

Windowsパッチ管理

パッチ管理ツールの主な目的は、セキュリティ上の弱点や重大なシステムのデータ破損、システムが使用不可状態になり得るような問題を効率的に対策し、サイバー攻撃を未然に防ぐことです。しかし、管理対象のシステムにどれほどの脆弱性が潜んでいるのかを理解しないまま、システムの脆弱性を効率的に解消するのは困難です。

そのため、パッチ管理ツールには、ただパッチを配布するだけでなく、ネットワークに潜む脆弱性をスキャンし、欠落しているセキュリティパッチを重要度ごとに把握する機能や、影響を受けるシステムの特定、それらのパッチを素早く適用し、コンピューターのセキュリティ脅威を確実に解消する機能が求められます。

エージェント型の統合エンドポイント管理(UEM)ツールである Endpoint Central は、上記の要素を満たすパッチ管理機能を備えており、単一のツールでWindows、MacLinux、各種サードパーティ製品のパッチに対応しています。

パッチ管理イメージ 【パッチ管理機能の概要】

Endpoint Centralのパッチ管理機能には、脆弱性情報の自動収集から欠落パッチの検出、パッチの適用、最新のステータスを反映させたレポートの生成までのすべての機能が含まれています。IT管理者はEndpoint Centralを用いることで、パッチ管理を自動化し、Windowsをはじめとした各OSのコンピューターについて効率的かつ統一された脆弱性対策が可能になります。

Endpoint Centralのパッチ管理機能は、Active DirectoryだけでなくWorkGroup環境にも対応しており、WSUS(Windows Server Update Services)への依存関係はありません。WSUSの対応範囲は限定的であり、例えばWSUSはMicrosoft Officeのパッチ管理に対応していませんが、Endpoint Centralでは Officeを含むMicrosoft 製品と サードパーティ製品の両方を管理できます。

Endpoint Centralではパッチ管理機能の他にも、コンピューターのセキュリティを高める端末設定機能があります。

≫パッチ管理に特化したソリューションをお探しの方はこちら

統合エンドポイント管理ソフト Endpoint Central気軽に試せます[無料]

30日無料で使える
評価版をダウンロード UEMソフトの
概要資料をダウンロード オンデマンドセミナーを
視聴する(参加無料) 

機能

未適用のパッチや更新プログラムの検知から配布、適用確認までを自動化・一本化します。

  • 自動システム検知:Active Directory内のシステムを自動的に管理対象に追加します。
  • パッチDBの同期:ManageEngineサイト内のパッチDBとの同期により、最新の脆弱性情報を自動収集します。
  • パッチスキャン:物理マシン/仮想マシンにおいてパッチスキャンを実行し、適用済みパッチと欠落パッチを確実に検知します。
  • パッチ承認:テスト用端末を設定することで、本番環境へのパッチ配布の前のパッチテストも可能です。
  • パッチの適用:端末単位/パッチ単位での配布が可能です。パッチの依存関係を考慮した過不足ない配布を自動的に実行します。
  • パッチレポート:システムの脆弱性、パッチ、OS情報などを網羅したレポートを生成します。パッチ/更新プログラムの適用状況が一目でわかります。
  • システムステータスポリシー:パッチ適用の基準を設定し、基準を満たさないシステムを一覧として表示します。
  • パッチの自動配布:未適用のパッチの検出から適用までを定期的に実行するタスクを作成し、適用を拒否したパッチを除いて指定された種類のパッチを自動的に適用し、システムを最新の状態に維持します。
  • サポートしているOSとパッチ:OSと多数のサードパーティ製品のパッチをサポートしています。
  • アンチウイルスソフトの定義ファイルの更新:Windows Defenderなどの定義ファイルの自動更新にも対応しています。

自動システム検知

Endpoint CentralはActive Directoryと連携することで、Windowsコンピューターを自動検出しエージェントをインストール可能です。IT管理者はActive Directoryの情報を参照して、管理したいコンピューターを選択し、エージェントをインストールできます。このエージェントが、Endpoint Centralサーバーから指示されるパッチスキャンやパッチ適用などのアクションを実行します。

Windowsコンピューターの自動検出

オンライン上のパッチデータベース

オンライン上にあるManageEngineのパッチデータベース(パッチDB)は、ベンダーからリリースされたパッチ情報/脆弱性情報を格納したデータベースです。Endpoint Centralの開発元であるZohoがクローラーで最新のパッチ情報をパッチDBに収集しています。利用可能なWindows Updateなどのパッチがリスト化されており、お客様の環境内に設置したEndpoint CentralサーバーがパッチDBから情報を取得し、最新のパッチ情報/脆弱性情報を自動的に取得します。

脆弱性情報のデータベース

パッチスキャン

Endpoint Centralでは社内ネットワーク上にあるシステムを定期的にスキャンすることで、資産情報とパッチDBの情報を比較し、未適用のパッチや更新プログラムを「欠落パッチ」として検出します。

パッチの承認

一般的に、ネットワーク上のコンピューターにパッチを配布する前には、テスト環境にパッチを配布し、問題が発生しないかを確認します。Endpoint Centralの「パッチテストと承認設定」機能では、パッチテストから本番環境へのパッチ適用までのワークフローを提供しています。パッチ配布にITシステム管理者チームによる承認が必要な場合は、テスト済みのパッチであれば直接配布できるよう事前に承認しておくことも可能です。

パッチ承認設定画面 【パッチ承認設定画面】

パッチ適用

Endpoint Centralでは、欠落しているパッチ単位または管理対象システム単位でパッチ配布が可能です。そしてパッチが配布されると、エージェントがセキュリティ更新や機能更新を配布します。パッチの配布は、Endpoint Central上のパッチ配布ステータスが更新されると完了です。この一連のパッチ適用作業は、あらかじめスケジュール化しておくこともできます。このパッチ管理機能は、あなたの周りのIT環境におけるすべてのWindowsのパッチ配布を行う準備やインストールを担います。

パッチレポート

パッチレポートでは、脆弱性のあるシステムのレポート、欠落しているWindowsパッチのレポート、適用可能なWindowsパッチのレポート、再起動が必要なシステムのレポートなどを生成することができます。また作成したレポートは、PDF・CSV・XLS形式で出力することができます。

システムスキャン後の管理対象一覧および欠落パッチ個数一覧の画面 【システムスキャン後の管理対象一覧および欠落パッチ個数一覧の画面】

システムステータスポリシー

Endpoint Centralは、管理対象で検出された欠落パッチの深刻度別の数をもとに、管理対象システムを「非常に脆弱」「脆弱」「正常」に分類します。この基準は任意に変更可能なため、組織の基準に合わせて変更することが可能です。このステータスを基準に管理することで、深刻な脆弱性を多く抱えたシステムを早期に特定し対応することが可能になります。

システム正常性ポリシー画面 【システムステータスポリシー画面】

パッチの自動配布

Endpoint Centralの自動パッチ配布タスクを活用すれば、指定した種類のパッチを管理対象コンピューターへ自動的に配布できます。

パッチ配布で自動化できるタスクは次の通りです。

  • 管理対象コンピューターにおいて、欠落パッチを特定するため定期的にスキャン実行
  • ベンダーのウェブサイトから欠落パッチのダウンロード
  • 欠落パッチの適用
  • 欠落パッチレポートの定期的なメール送信

管理対象のコンピューターをグループ化し、グループごと異なるレベルのパッチ自動配布タスクを設定することで、エンドユーザーごとに適した自動化レベルを選択できます。例えばすべてのセキュリティパッチをリリースから数日後に自動配布するグループと、より慎重な適用をするために3週間程度の時間をおいて自動配布するグループを作成できます。

パッチ配布の自動化【パッチ自動配布の設定画面】

サポートしているOSやアプリケーション

対応しているWindows OS

Windows 11

Windows 10

対応Server OS

Windows Server 2022

Windows Server 2019

Windows Server 2016

Windows Server 2012 R2

Windows Server 2012

Microsoftアプリケーション

Microsoft Office

Microsoft Office 365

  • Access
  • Excel
  • PowerPoint
  • Word
  • Outlook
  • Microsoft SQL Server (2019まで)
  • Microsoft Exchange Server (2019まで)
  • Microsoft SharePoint Server (2019まで)

Endpoint CentralがサポートしているOSやアプリケーション一覧は こちらを参照してください。

アンチウイルスソフトのパターンファイル(定義ファイル)のアップデート

ウイルスやトロイの木馬の攻撃からネットワークを守るためにアンチウイルスソフトの更新は重要です。

Endpoint Centralは、脆弱性修正パッチだけではなく、アンチウイルスソフトのパターンファイル(定義ファイル)の自動更新にも対応しています。対応しているアンチウイルスソフトは以下の通りです。

  • Windows Defender x86
  • Windows Defender x64
  • Mcafee Endpoint Security
  • Mcafee Virusscan Enterprise

評価版パッチ管理ソフト

Endpoint Central 評価版 でWindowsパッチ管理をお試しください。

Endpoint Centralを使用して パッチ管理 と パッチ管理ライフサイクル を向上させましょう。

統合エンドポイント管理ソフト Endpoint Centralをお気軽に試せます[無料]

30日無料で使える
評価版をダウンロード UEMソフトの
概要資料をダウンロード オンデマンドセミナーを
視聴する(参加無料)