パッチ配布を自動化する必要性
日々増加し続けるサイバー攻撃から企業のネットワークを保護するには、コンピューターを常に最新の状態に保ち、24時間体制でパッチを配布できる環境を構築する必要があります。その実現のためには、複数のOSとサードパーティ製品のアプリケーションに対応した、欠落パッチの検出からパッチのインストールまでを集中管理できるパッチ自動配布ツールの導入が重要です。
Endpoint Centralのパッチ自動配布(APD)機能を使用すると、IT管理者は、管理対象のコンピューターに欠落パッチを自動配布できます。
パッチ自動配布(APD)機能の4つの特徴
- パッチの種類やアプリケーション、適用対象を事前に定義しておくことで、リリースされたパッチを即座に適用可能。
- 手動配布機能と同様、スケジュールや再起動実行などを配布ポリシーで定義可能なため、柔軟な条件で配布可能。
- パッチテストを有効にしておくことで、管理者が承認したパッチのみを本番環境に展開可。確実な適用拒否も可能。
- 大量の欠落パッチが存在するなかで、影響度の低いパッチを自動配布に任せ、IT管理者は業務への影響度の高いパッチ適用の対応に注力可能。
パッチ自動配布の流れ
- パッチDBとの同期により、Endpoint Centralサーバーは最新の脆弱性情報/パッチ情報を入手する
- パッチDB直後のリフレッシュサイクル時に、Endpoint Centralエージェントがコンピューターをスキャンし、欠落パッチを検出する
- パッチ自動配布機能により、指定条件に合致する欠落パッチが0個になるよう、配布タスクが稼働してパッチを自動配布する
自動配布(APD)タスクの作成手順
自動配布(APD)タスクの作成手順は、パッチ自動配布に関するナレッジをご確認ください。
FAQ
すべてのコンピューターをスキャンすると、ネットワークのトラフィックが増加したり、Endpoint Centralサーバーへの負荷が高くなったりしませんか?
いいえ。スキャンによってネットワークトラフィックが増加したり、Endpoint Centralサーバーの負荷が高まることはありません。Endpoint Centralのパッチスキャンでは、スキャンデータの差分(前回のスキャンデータと今回のスキャンデータの差分)のみをサーバーに送信するため、サーバーに負荷がかかりません。また、Endpoint Centralエージェントは「リフレッシュサイクル」のタイミングでスキャンを実行するので、各コンピューターで実行されるタイミングが分散されます。送信されるデータが小さく、タイミングも異なるため、ネットワークへの負荷を最小限に抑えられる仕様です。
スキャン完了後に欠落パッチレポートを取得する方法を教えてください。タスクの対象とするアプリケーションやパッチの重要度、配布対象とするコンピューター・グループ・ドメイン、実行タイミングなどを指定できます。特に
[スケジュールレポート]機能を利用してください。データベース同期から2時間後に、メール添付形式でレポート送信します。また、任意のタイミングでのレポート送信も可能です。
自動配布タスクでインストールされたパッチは、どこから確認できますか?
APDタスクの[パッチビュー]を開くと参照できます。
欠落パッチは本番環境に即時適用されてしまいますか?パッチリリースから1週間後にパッチを配布する運用を想定していますが、対応可能でしょうか?
はい、可能です。パッチ自動配布(APD)タスクは、実行するタイミングを「配布ポリシー」のスケジュール設定かつ以下の条件を満たす場合として設定することが可能です。
- リリースから「x」日後のパッチ配布
- パッチテスト後の承認から「x」日後のパッチ配布
複数のパッチ配布タスクを作成することは可能ですか?
はい、可能です。タスク数に仕様上の制限はないため、管理対象コンピューターの部署や適用するパッチの種類、スケジュールなど、必要に応じてタスクを複数作成して、自組織の運用に合ったタスクを設定してください。