システムステータスポリシー
システムステータスポリシーを使用したセキュリティ基準の設定
Patch Manager Plusは管理対象を定期的にスキャンして欠落パッチを検出します。欠落パッチには、そのシステムに関連するOSのパッチ(Windowsの更新プログラムやmacOS、Linuxのセキュリティパッチ)や、サードパーティアプリケーションのパッチが含まれます。パッチは影響度に応じた重要度(深刻度)が設定された状態でベンダーからリリースされます。Patch Manager Plusは、ベンダーが定義したパッチの重要度に基づいてパッチの重要度を定義しています。
Patch Manager Plusは、重要度ごとの欠落パッチの数を管理対象ごとに合計し、システムの健全性を計算します。管理対象のシステムを「正常」「脆弱」「非常に脆弱」の3つのカテゴリーに分類して、ただちに対応が必要なシステムを一目で特定できるようにします。この判定基準を「システムステータスポリシー」(システム正常性ポリシーから改称)と呼びます。
すべてのセキュリティパッチとサードパーティのパッチを配布することを推奨します。 もし特定のパッチをシステムステータスポリシーの計算から除外させたい場合は、そのパッチを パッチの拒否に登録します。拒否されたパッチは、システムステータスポリシーの計算には考慮されません。
システムの分類
Patch Manager Plusは欠落パッチの重要度ごとの数に基づいて、管理対象のシステムを「正常なシステム」、「脆弱なシステム」、「非常に脆弱なシステム」に分類します。
「非常に脆弱なシステム」とは、指定した個数の"重大"または"重要"の重要度の欠落パッチがあるシステムのことです。
「脆弱なシステム」とは、「非常に脆弱なシステム」以外のシステムで、指定した数の"重大"または"重要"の重要度の欠落パッチがあるシステムのことです。「正常なシステム」とは、非常に脆弱・脆弱のどちらでもないシステムのことです。
「パッチの拒否」で拒否済みに登録されたパッチは、システムステータスポリシーの計算から除外されます。
システムステータスポリシーの判定において、すべてのサードパーティ製品のパッチを除外し、OSのパッチのみで評価することも選択できます。
システムステータスの判定基準
システムの正常性を判断するための基準をカスタマイズできます。重要度ごとに欠落パッチの数を指定し、システムを「脆弱なシステム」、「非常に脆弱なシステム」に分類します。組織のセキュリティポリシーに合わせてステータスを設定することで、対応すべき対象を明確にできます。
コンピューターを「非常に脆弱なシステム」に分類する基準
3つ以上の「重大」パッチが欠落している
3つ以上の「重要な」パッチが欠落している
0つ以上の「中」パッチが欠落している
0つ以上の重要度の「低」パッチが欠落している
コンピューターを「脆弱なシステム」に分類する基準
2つ以上の「重大」パッチが欠落している
1つ以上の「重要」パッチが欠落している
1つ以上の「中」パッチが欠落している
0つ以上の「低」パッチが欠落している
上記の例の場合、「重大」のパッチが3つ欠落しているシステムは「非常に脆弱なシステム」に分類されます。「重大」のパッチが2つ欠落している場合、「脆弱なシステム」に分類されます。「重大」のパッチが1つ欠落している場合、「正常なシステム」に分類されます。また、「中」のパッチが5つ欠落している場合、「脆弱なシステム」に分類され、「低」のパッチが10つ欠落している場合は、どちらの基準にも当てはまらないため、「正常なシステム」に分類されます。
以下の手順に従って、上記の設定を構成できます:
[管理]タブを選択します。
[パッチ設定]配下にある[システム正常性ポリシー]をクリックします。
欠落パッチの数を指定します。
[詳細設定]で、「システムステータスの判別のためにサードパーティパッチを除外する」などのオプションを選択します。
[保存]をクリックします。
システムステータスポリシーからサードパーティパッチを除外
多数のサードパーティアプリケーションがインストールされている環境では、OSパッチの重要度(深刻度)が過少に評価される可能性があります。そのため、Patch Manager Plusでは、サードパーティパッチをシステムステータスポリシーの計算から除外し、OSパッチのみで評価するようにポリシーを設定できます
承認済みの欠落パッチのみで、システムステータスポリシーを計算するオプションもご利用いただけます。