パッチの拒否とは?

セキュリティ向上のためには、パッチを適切に当てる必要があります。しかし、場合によってはパッチがシステムに悪影響を及ぼすことがあります。パッチの拒否とは、特定のパッチを特定のPCに適用しないことを指します。パッチの拒否によって、パッチ管理を自動化した場合でも、安定した運用を実現できます。

クライアントとサーバーにおけるパッチ管理の違いとは?

通常のクライアント(PC)とサーバーでは、パッチ管理の方針について考え方が異なります。

通常のクライアントは、パッチを支障のない範囲で早期に適用することが求められます。一方、業務上重要なサービスを提供しているサーバーは、業務時間内のダウンタイムを最小化することが求められます。そのため、突然のサービス中断や再起動が発生しないよう、パッチの適用の可否やインストールする順番を検討する必要があります。特に、実行されているアプリケーションの依存関係などを考慮し、拒否するパッチをリストアップすることが必要になります。例えば、社内の重要なサーバーに対しては、重要度の低いパッチを拒否する方針をとることも選択肢の一つになります。

パッチ管理を自動化した場合のパッチ拒否とは?

企業には様々な環境が存在します。重要度の低いパッチを拒否する端末、Windows 10 のFeature Updateのみを拒否する部署など、社内ではパッチに対して様々な条件や要望があります。こういった差異を考慮せずにパッチ管理を自動化すると、すべてのパッチが脆弱性のレベルに関係なく、全てのコンピューターに配布されてしまいます。

これを回避する方法として、対象ごとにパッチ配布ポリシーを設定し、適用しないパッチを「拒否」として登録する方法があります。パッチを拒否済みとしてポリシー設定することで、確実なパッチ管理が可能になります。パッチ管理ツールには、パッチの拒否をふくめ、柔軟なポリシーを設定可能であることが望ましいと言えます。

さらに、OSのパッチに限らず、サードパーティアプリケーションのパッチについても拒否を設定できるかどうかが、より効率的なパッチ管理を実現するカギとなります。

Patch Manager Plusによるパッチの拒否

Patch Manager Plusでパッチの拒否を設定すると、パッチ管理を自動化した場合でも、特定のアプリケーション/バージョンのパッチを指定したグループ/端末に対して拒否する運用が可能になります。

OSのパッチに限らず、850種類以上のサードパーティアプリケーションのパッチもも拒否対象です。レガシーアプリケーションへの対応や、重要度の低いパッチの適用見送りなどにより、企業内のコンピューターを安定して稼働させることが可能になります。

さらに、一度適用を拒否したパッチを後で配布することも可能です。一時的にパッチを拒否する場合には、パッチの拒否を設定し、再度変更して拒否リストから削除することで、配布可能に変更できます。

【パッチの拒否の設定画面【パッチの拒否の設定画面】
 
Patch Manager Plusクラウド版

クラウド版なら

気軽に操作感をチェックできます