自動化パッチ配布タスクを作成および構成する方法

自動パッチ配布機能を使用する方法

パッチ配布の自動化の必要性

近年、脆弱性をねらったサイバー攻撃の頻度は増加しています。すべてのエンドポイントを最新の状態に保ち、パッチを可能な限り早期に適用することで、攻撃を未然に防ぐことができます。簡易的なツールの使用やIT管理者の工数をかけてこの問題に対処する場合、運用が非効率になりがちで、状態の可視化にも限度があります。
最善の方法は、複数のOSやサードパーティアプリケーションのパッチを一元的に管理する自動化されたソリューションを導入することです。
Patch Manager Plus には自動パッチ配布 (パッチ配布の自動化、APD)機能により、指定した条件に一致するパッチを管理対象コンピューターに自動で展開できます。

パッチ自動配布(パッチ配布の自動化、APD)とは

Patch Manager Plusには大きく2種類のパッチ配布機能があり、その一つが「パッチの自動配布」(パッチの自動配布)機能です。

機能

Patch Manager Plusがパッチリポジトリと同期すると、同期が完了した後の次のリフレッシュサイクルにて、スキャンが実施され、欠落パッチを検出します。欠落パッチが検出されると、あらかじめ自動配布で指定した条件のパッチがベンダーサイトからダウンロードされ、配布ウィンドウの指定に従って自動的にインストールが実行されます。

必要に応じて、テスト環境へ先行適用し、一定期間後に本番環境へ配布したり、管理者が承認したパッチのみを配布することも可能です。

自動パッチ配布の利点

  1. 迅速なパッチの適用によりセキュリティが強化されます。

  2. 本番環境への適用前に管理者の承認プロセスを挿入することも可能です。

  3. エージェントは定期的にPatch Manager Plusと通信を試行し、そのタイミングでパッチスキャンを実行します。そのため、Patch Manager Plusとエージェントとの通信が一時的にできない場合でも、次回オフラインからオンラインになったタイミングで、スキャンが実行され、欠落パッチを検出します。そして配布期間中の場合にそれらを配布します。つまり、長期間オフラインだった端末に存在する脆弱性への心配がなくなります。

  4. 自動配布は、対応するパッチがすべて適用されるまで実行されます。
  5. パッチ適用の履歴を詳細に確認でき、メール通知も可能です。

パッチ自動配布タスクを作成する手順は、以下のナレッジまたはドキュメントをご覧ください。

  1. オンプレミス版の場合:パッチ自動配布に関するナレッジスタートアップガイド

  2. クラウド版の場合:パッチ自動配布に関するナレッジスタートアップガイド

よくある質問

  1. パッチスキャンはいつ実行されますか?

    パッチDBの同期された直後のリフレッシュサイクル(90分毎の定期的な通信)でスキャンが実行されます。
    オンプレミス版の場合、パッチDBの同期は1日1回指定した時刻に実行されるため、おおよそのスキャン時刻を間接的に指定できます。クラウド版の場合、パッチDBの同期は1日3回同期され、時刻を指定することはできません。なお、前回の同期からパッチDBに新規情報が追加されないような場合、スキャンはスキップされます。

  2. スキャンで検出された欠落パッチのうち、一部のパッチを配布から除外することはできますか。


    はい、可能です。適用させたくないパッチは「パッチの拒否」を設定します。また、自動配布はアプリケーションごとに指定できるため、自動配布タスクの作成時に対象から除外することや、一部のパッチを自動配布ではなく「手動配布」の対象とするなど、様々な運用スタイルに合わせた方法があります。

  3. スキャンの実行により、管理対象のマシンやネットワークに大きな負荷が生じないでしょうか。


    管理対象マシンのスペックにもよりますが、負荷は限定的です。またWindows OSの場合、パッチスキャンは差分スキャンデータ(2つの連続したスキャン間のスキャンデータの違い)のみを送信するため、ネットワークへの負荷も限定的です。
    加えて、スケジュールスキャンは定期的な通信(リフレッシュサイクル)のタイミングで実行されるため、各エージェントごとに開始時間が異なります。そのため、ネットワークトラフィックは分散されるため、帯域の消費が大きくなることを防ぎます。

  4. 欠落パッチの通知を受け取ることはできますか。


    スケジュールレポート機能を利用し、検出された欠落パッチを一覧として出力し送信します。

    1. 「レポート」タブ →「スケジュールレポート」を開き「スケジュールレポートの追加」をクリックします。
    2. 任意のスケジュール名と説明を入力し、「パッチレポート」の隣の「+」をクリックして「欠落パッチ」を選択します。
    3. 必要に応じてフィルターを設定します。
    4. エクスポート設定でPII(ホスト名など、個人を特定可能な情報)を伏字にするかそのまま表示するかを選択します。
    5. 形式を選択します。
    6. 件名や宛先を指定します。
    7. 「レポートのスケジュール設定」において、実行時刻と頻度を指定します。オンプレミス版の場合、パッチDBの同期から2時間後に設定することで、スキャン後の結果を確実に取得します。
  5. パッチ自動配布の実行スケジュールを指定できますか。


    自動配布タスク・手動配布構成ともに、配布時間や配布前後の設定を「配布ポリシー」で定義します。配布ポリシーでは実行時間帯のほか、配布前のアクションや通知、配布後のアクションや再起動の実行有無などを指定できます。要件に合わせた配布ポリシーを複数作成し、適宜選択することで、効率的な運用が可能です。

  6. パッチ自動配布で配布されたパッチのレポートを見るにはどうすればいいですか?


    「配布」タブ →「パッチ配布の自動化」→各タスク名を選択し、「パッチビュー」を開いて確認します。

  7. パッチチューズデー(Microsoftが更新プログラムをリリースする第二火曜日)の2週間後にパッチをインストールするスケジュールを立てようとしています。どのように設定すればよいでしょうか。


    「配布」タブ →「パッチ配布の自動化」を開き、「タスクの作成」→プラットフォーム(Windows、MacまたはLinux)を選択後して新規タスクの作成画面を開いたら、一番下までスクロールして「指定した日数後にパッチを配布」の日数を指定します。

    • リリースからの日数を指定:パッチのリリースから指定日数後に配布を実行します。例えば、14日と指定します。

    • 商人からの日数を指定:パッチテストと承認設定を有効化している場合、パッチ承認日から指定日数後に配布を実行します。例えば、承認まで7日かかるとすると、7日と指定します。