パッチ管理アーキテクチャー

オンプレミス版アーキテクチャー

Patch Manager Plus オンプレミス版のパッチ管理の仕組みについて説明します。パッチ管理は次のコンポーネントで構成されています。

Patch Manager PlusサーバーはZohoパッチリポジトリと定期的に同期し、最新のパッチ情報を自動的に取得します。

パッチ管理アーキテクチャー

クローラー:

クローラーはPatch Manager Plusの開発元であるZoho Corporationが管理しており、対応する各ベンダーサイト(MicrosoftやAppleなどのウェブサイトなど)に定期的にアクセスして新しい脆弱性情報・リリースされたパッチ情報を取得します。Zoho Corporationでは、パッチのダウンロードおよびインストールが正常に実行できるかの簡単なテストを行っており、テスト後のパッチ情報を「Zohoパッチリポジトリ」に公開しています。

Zohoパッチリポジトリ:

Zohoパッチリポジトリは Zoho Corporation サイトにあり、最新のパッチ情報をまとめたデータベースです。お客様のサイトにある Patch Manager Plus サーバーはZohoパッチリポジトリと定期的に通信し、最新のパッチ情報を自動的に取得します。

Patch Manager Plusサーバー:

Patch Manager Plus サーバーはお客様のサイトにあり、Zohoパッチリポジトリと定期的に同期します。同期する情報の種類は「パッチDBの設定」にて選択します。定期的な同期の後、管理対象のシステムをスキャンすることで、まだインストールされていない「欠落パッチ」を検出します。IT管理者は配布するパッチを「欠落パッチ」から選択するか、欠落パッチを自動的に配布するタスクを構成することで、パッチをコンピューターに配布します。

パッチ管理のフロー

Patch Manager Plusオンプレミス版を使用したパッチ管理では、基本的に2つの段階があります。

  1. パッチスキャン

  2. パッチの配布

パッチスキャン

Patch Manager PlusはパッチDBの同期の後、管理対象のシステムを定期的にスキャンして欠落パッチを検出します。パッチリポジトリから取得した情報を参照し、端末上でファイルバージョンチェック、レジストリチェックおよびチェックサムを実行することによって、欠落パッチを検出しています。スキャンのロジックは、OS、アプリケーション、および更新プログラムの依存関係を考慮しており、各システムで必要な更新プログラムやパッチを自動的に判別します。

パッチスキャンが完了すると、スキャン結果が返され、Patch Manager Plus サーバー内のデータベースに保存されます。スキャン結果は管理コンソールで表示・確認できます。

パッチの配布

パッチをダウンロードし、対象にインストールするまでの流れを「パッチの配布」と呼びます。パッチの配布方法には、パッチや管理対象コンピューターを管理画面上で選択して配布する「手動配布」と、あらかじめパッチの種類・配布対象を選択して自動的に配布を実行する「自動配布(パッチ配布の自動化)」があります。パッチが選択されると、まずPatch Manager Plusサーバーは自動的にパッチをダウンロードし、サーバー内のパッチリポジトリに保存します。次に、指定した曜日・時間帯に配布を開始します。管理対象に対して順次パッチファイルが送信され、インストールが実行されます。