パッチ管理アーキテクチャー
Patch Manager Plus のパッチ管理の仕組みについて説明します。パッチ管理は次のコンポーネントで構成されています。
外部クローラー
ZohoパッチDB
Patch Manager Plus サーバー
外部クローラー: 外部クローラーはグローバルの Zoho Corporation サイトにあり、各ベンダーサイト(MicrosoftやAppleのウェブサイトなど)にアクセスして新しい脆弱性情報・リリースされたパッチ情報を取得します。Zoho Corporationでは、パッチのダウンロードおよびインストールが正常に実行できるかの簡単なテストを行っており、テスト後のパッチ情報がZohoパッチDBに公開されます。この一連プロセスは定期的に行われます。
ZohoパッチDB: ZohoパッチDBは、グローバルのZoho Corporation サイトにあり、最新のパッチ情報をまとめたデータベースです。このデータベースは、お客様のサイトにある Patch Manager Plus サーバーがアクセスできるよう公開されており、パッチのスキャンとインストールに必要な情報を提供します。
Patch Manager Plusサーバー: Patch Manager Plus サーバーはお客様のサイトにあり、ZohoパッチDBと定期的に同期します。同期後、管理対象のシステムをスキャンすることで、まだインストールされていない「欠落パッチ」を検出します。IT管理者は配布するパッチを「欠落パッチ」から選択するか、自動的に欠落パッチを配布するタスクを構成することで、パッチをコンピューターに配布します。
仕組み
Patch Manager Plusを使用したパッチ管理では、基本的に2つの段階があります。
パッチスキャン
Patch Manager Plusは管理対象のシステムを定期的にスキャンして欠落パッチを検出します。パッチDBの情報を参照し、端末上でファイルバージョンチェック、レジストリチェックおよびチェックサムを実行することによって、欠落パッチを検出しています。パッチDBはベンダーからリリースされる最新パッチ情報がまとめられており、Patch Manager Plusは定期的に同期します。スキャンのロジックは、オペレーティングシステム、アプリケーション、および更新プログラムの依存関係を考慮しており、各システムで必要な更新プログラムを自動的に判別します。
パッチスキャンが完了すると、スキャン結果が返され、Patch Manager Plus サーバー内のデータベースに保存されます。スキャン結果はWebコンソールで表示・確認できます。
パッチの配布
パッチをダウンロードし、対象にインストールするまでの流れを「パッチの配布」と呼びます。パッチの配布方法には、パッチや管理対象コンピューターを管理画面上で選択して配布する「手動配布」と、あらかじめパッチの種類・配布対象を選択して自動的に配布を実行する「自動配布」があります。パッチが選択されると、まずPatch Manager Plusサーバーは自動的にパッチをダウンロードし、サーバー内のパッチリポジトリに保存します。次に、指定した曜日・時間帯に配布を開始します。管理対象に対して順次パッチファイルが送信され、インストールが実行されます。