Windows PCのパッチ管理とは?
Windows PCのパッチ管理は大きく2種類
Windowsのパッチ管理には大きく分けて2種類があります。それは「Microsoftの更新プログラム適用」と「Microsoft以外のソフトウェアのセキュリティパッチ適用」の2つです。IT管理者はそれら2種類のパッチ管理を適切に実行し、組織のセキュリティを高める必要があります。
Windowsが狙われる理由
NetMarketShare の統計によると、デスクトップPC/ノートPCのOSにおける最新のシェアは、Windowsが84.76%(2023年7月時点)と高いため、攻撃の対象になりやすいのが現状です。Recorded Futures社が公開しているレポート「Soft Target: The Top 10 Vulnerabilities Used by Cybercriminals」によると、2017年のサイバー攻撃に使われた脆弱性の上位10個の内、7個がMicrosoft製品のものでした。(2017年の残り3つはAdobe製品ですが、2015年と2016年においては、Adobe製品の脆弱性の方が攻撃に利用されていました。)
また2017年は、IT管理者に「パッチ管理による脆弱性対応の必要性」を再認識させる事件も起きました。その一つが、ランサムウェアのWannaCryによる事件です。 WannaCry は 、 脆弱性攻撃ツールのEternalBlueを利用していましたが、該当の脆弱性修正パッチは、感染が確認される 1 ヶ月前に Microsoft からリリースされた月例セキュリティ更新プログラムに含まれていました。結果論ですが、事前に当該脆弱性の修正パッチを適用できていれば、WannaCryの感染やその他EternalBlueを利用した攻撃を未然に防止できていた可能性があり、適切なパッチ管理の重要性がわかります。
どうなる?これからのWindows 10・11 更新プログラム
更新プログラム管理に悩む情シスへのアドバイス集
Windows 10・11の更新プログラムの違いや、更新プログラムの配信時によく生じる問題を解決する方法を紹介します。
資料をダウンロードするWindowsパッチの自動管理ツールは本当に必要か?
IT管理者を悩ませるパッチ管理の課題
脆弱性対応を行うためには適切なパッチ管理が必要ですが、どのような課題があり、どのように管理するのがよいのでしょうか。IT管理者からよくお聞きするパッチ管理の課題としては、次のようなものがあります。
- JVN 等から最新の脆弱性情報を常に把握するのが大変
- 各コンピューターのパッチ適用状況の可視化が出来ていない
- 各ベンダーのサイトから手作業でパッチをダウンロードするのが大変
- パッチを正常に適用できるか、また適用後に不具合が生じないか不安
- パッチ配布が業務に影響しないか不安
- コンプライアンス対応などで必要なレポートを作成するのが大変
これらの課題を解決し、素早く脆弱性に対応するためには、手作業では限界があります。そのため多くの組織では、「ツールの導入」を進めています。
脆弱性スキャンの理想的な頻度は?パッチの優先順位は?
≫パッチ管理がよくわかる資料(無料):脆弱性管理のよくある疑問TOP5
無償ツールを利用する場合の問題
Windowsのパッチ管理においては、Windows Server Update Services(WSUS)や Active Directory のグループポリシーを利用して、Windows PC のパッチ管理を行っている組織もあります。それらは無償で利用できるため、費用削減を求められている組織にとっては重宝するものです。
しかし、WSUSなどは有用なツールであることは間違いないですが、WSUSを導入したために新たな問題(可視化や自動化、パフォーマンスの問題など)に直面し、別ツールを導入する組織が多いのも事実です。
またWindows 10からこれまでのサービス形態と変わり、更新プログラムの管理が非常に重要になりました。このような状況においては、「自動パッチ管理ツール」を導入し、運用負荷の少ない脆弱性対応や更新プログラム対応を求めるIT管理者が多くなってきています
Patch Manager PlusによるWindowsのパッチ管理
パッチ管理を完全自動化
Patch Manager Plus は、Windows、macOS、Linux端末への自動パッチ配布だけではなく、850種類を超えるサードパーティ製品のパッチ配布を行える「自動パッチ管理ツール」です。一連の作業を「完全自動化」することができるため、「脆弱性対応の負担削減」と「素早い脆弱性対応によるセキュリティ向上」を同時に実現することができます。製品の特徴としては、次のようなものがあります。
- 最新の脆弱性情報の自動収集
- 端末自動スキャンによる欠落パッチの可視化
- ベンダーサイトからの自動ダウンロード
- テストグループを利用したパッチ適用テスト
- 配布タイミング制御などを利用したパッチ配布
- コンプライアンス対応などに利用できる強力なレポート
Patch Manager Plusのこれらの機能を利用することで、「Microsoftの更新プログラム適用」と「Microsoft以外のソフトウェアのセキュリティパッチ適用」という2種類のパッチ適用を、効率的に実施できるようになり、Windows端末の素早い脆弱性対応が実現可能です。
サポートしているWindowsについて
サポートしているWindows OSとサードパーティ製品につきましては、こちらをご参照ください。
どうなる?これからのWindows 10・11 更新プログラム
更新プログラム管理に悩む情シスへのアドバイス集
Windows 10・11の更新プログラムの違いや、更新プログラムの配信時によく生じる問題を解決する方法を紹介します。
資料をダウンロードする