どのパッチを適用すべきでしょうか。
質問
Endpoint Central (Patch Manager Plus) でパッチ管理を実施する場合、どのパッチを適用すべきでしょうか。
回答
パッチ管理の仕組み
パッチ管理機能では、パッチDBの同期と管理対象へのパッチスキャンにより、サポート対象アプリケーション/OSの欠落パッチを自動的に検出します。
未適用のパッチ一覧を簡単に確認可能であるほか、各ベンダーが指定したパッチの深刻度ごとに分類が可能です。
適用するパッチの選定
実際に適用するパッチの選定はお客様のセキュリティポリシー次第ですが、はじめに管理範囲を定義し、「欠落パッチ」として検出されているパッチのうち重要度が高いものを選択して適用することが基本です。
(パッチの適用にあたっては、お客様での検証をお願いいたします。また、お客様の環境やシステムの用途等により影響の大きさは異なるため、パッチの内容をよくご確認ください)。
- どのOS/アプリケーションのパッチを管理するか → はじめにパッチDB設定で定義します。
- 他の方法によるパッチ配布を停止する → Windows Updateの停止や、グループポリシーによる設定を解除します。
- どの重要度のパッチがいくつ欠落している状態を危険と判断するか → システムステータスポリシー で設定します。
- 本番環境への配布前にテストを実施するか、実施する場合の承認を手動またはスケジュール設定するか → パッチテストと承認設定 で設定します。適用したくないパッチやアプリケーションは パッチの拒否において設定します。
Desktop Centralで管理するパッチの種類はこちらをご覧ください。
パッチの配布と適用
パッチの適用方法は、パッチの種類を事前に選択しておく自動配布 と、配布するパッチを手動で選択する手動配布から選択可能です。自動配布の場合でも、承認設定を有効化することで、管理者が承認したパッチのみを適用することが可能です。
Windows 10の更新プログラム(機能更新プログラム/Feature Update: 大型アップデート/Quality Update:毎月のアップデート)管理については、「Windows 10 / 11の更新プログラム管理」も併せてご覧ください。
- パッチスキャンの実行方法
- Endpoint Centralにログインし、管理対象へのエージェントインストールが完了していることを確認します。
- パッチDBの設定が完了していることを確認します。
- パッチ管理 タブ > 左メニューの「システム」 > システムスキャン より、対象を選択して「システムスキャン」または「すべてスキャン」をクリックします(手動パッチスキャン)。パッチスキャンはパッチDBとの同期後にも自動的に実行されます(スケジュールパッチスキャン)。
- 「欠落パッチ」の確認方法
- Endpoint Centralにログインし、パッチ管理 タブ > 左メニューの「パッチ」 > 欠落パッチ を開きます。
- パッチスキャンにより、管理対象中で欠落しているパッチの一覧が表示されます。どのPCで欠落しているかを確認するには、「欠落システム」列の数字をクリックすることで、詳細がご覧いただけます。また、管理対象全体で欠落しているパッチの一覧は、「詳細ビュー」をクリックして表示します。
詳細な手順につきましては、以下のナレッジをご覧ください。
また、スタートアップガイドも合わせてご確認ください。
パッチ管理のワークフローについて
基本的には、以下のステップを繰り返し実行することで、組織内のパッチ管理を運用します。
基本的には、以下のステップを繰り返し実行することで、組織内のパッチ管理を運用します。
- 脆弱性情報の収集
「パッチDBの同期」により、対応するOS/アプリケーションの脆弱性情報を自動的に収集します。 - 管理対象のスキャン
パッチスキャンを定期的に実行することで、管理対象の欠落パッチを検出します。 - 脆弱な対象の特定
欠落パッチが存在する管理対象PCを特定します。必要に応じてパッチテストを実施します。 - パッチのダウンロードと配布
パッチの手動配布または自動配布により、パッチをベンダーサイトからダウンロードし、管理対象にインストールします。 - レポートの生成による確認
パッチの適用状況をレポートにより確認可能です。随時ステータスを更新してエクスポートが可能なほか、定期的にレポートを出力することも可能です。