パッチ管理の各ページ/パッチの種類/各カラムについて
本記事では、Endpoint Centralのパッチ管理機能で表示される各ページの内容、パッチの種類、および各ページのカラムの内容について説明いたします。
パッチ管理タブ > ダッシュボード
管理対象の各ステータスが表示されます。
各グラフの要素をクリックすることで、ドリルダウンして詳細を表示します。
- 配布に失敗したシステム: パッチ配布に失敗し、再度配布を実行する必要があるPCの台数を表示します。
- 再起動が必要なシステム: 再起動が必要なパッチの配布が完了し、再起動待ちの状態となっているPCの台数を示します。
- 未承認のパッチ(Missing patches awaiting approval): ステータスが「承認済み」となっていない欠落パッチの数を示します (承認ステータスについては「パッチテストと承認設定」をご確認ください)。
- パッチ適用状況: 管理対象PCの欠落パッチの総数と、インストール済みパッチの総数を示します。
- システムステータス: システムステータスポリシーに基づいて、管理対象PCを「正常」「脆弱」「非常に脆弱」に分類し、それぞれの台数を示します。対処が必要な管理対象PCの有無が分かります。
- 重要度ごとの欠落パッチ: ベンダーが設定したパッチの重要度(深刻度)に基づき、各重要度(「重大」>「重要」>「中」>「低」/「評価なし」)ごとの欠落パッチ個数を表示します。
- トップ5 脆弱性ごとの欠落パッチ: 欠落パッチが検出された管理対象PC(=欠落システム)の台数が多い順に、上位
5個20個の脆弱性を表示します。 - OSごとのPC一覧: 管理対象PCのOSごとの台数を示します。
- バージョンごとのWindows 10 コンピューター: Windows 10の管理対象PCについて、各バージョンごとの台数を表示します。サポートが終了しているバージョンのWindows 10コンピューターがないか確認できます。
- リリース時間に基づいた欠落パッチ数: リリース日から経過した日数ごとの欠落パッチの個数を表示します。
- 承認時間に基づいた欠落パッチ数: 承認日から経過した日数ごとの欠落パッチの個数を表示します(承認ステータスについては「パッチテストと承認設定」をご確認ください)。
- 最新のセキュリティニュース: 最近リリースされたパッチ情報を確認できます(英語)。
パッチ管理タブ > パッチ
パッチ管理タブ > パッチ 内の各ページについて
「パッチ管理」タブ > 左メニュー「パッチ」を 開くと、以下のようなメニュー画面がご覧いただけます。
各カラムについて
各ページを開くと、以下のような画面をご覧いただけます。
各カラムの主な内容は次の通りです(カラムの表示/非表示の切り替えは、右上の表アイコンから操作可能です)。
- パッチID:Endpoint Centralで用いる一意のIDです。
- Bulletin ID:ベンダーが提供する記事のIDです。このリンクをクリックすると、脆弱性・パッチの内容やダウンロードリンクなどの詳細ビューが開きます。
- KB番号:Microsoftなどのベンダーが提供するサポート情報の番号です。
- パッチの説明:アプリケーション名やOS名、サービスパックなど、パッチに関する簡単な説明です。
- パッチの種類:Security Update / Third Party Updateなど、パッチDBの設定において、管理する対象として選択したパッチの種類を示します。詳細は、以下のポイント欄もご覧ください。
- 重大性:ベンダーが設定するパッチの重要性、深刻度を示します。
- 承認ステータス:パッチの承認ステータスです。詳細は パッチテストと承認設定について ページをご参照ください。
- 再起動:パッチインストール後の再起動が必要/不要かを示します。
- プラットフォーム:WindowsやMac、LinuxなどのOSです。
- ベンダー:MicrosoftやApple、Adobeなどのパッチのベンダーです。
- リリース日:ベンダーによるパッチのリリース日です。
- サポート日:Endpoint Centralで管理可能となった日を示します。
- 次のパッチで更新済み:そのパッチよりも新しいバージョンのパッチがリリースされ、利用可能になっていることを示します。
- パッチのアンインストール:アンインストール可能なパッチは「サポート済み」と表示されます。
- インストール済みシステム:既にパッチがインストールされた台数を示します。
- 欠落システム:パッチがインストールされていない台数を示します。
- 適用に失敗したシステム:パッチの適用に失敗した台数を示します。
表示されるパッチの種類は、 パッチ管理タブ > 設定 > パッチDBの設定 > 管理するパッチの種類を選択する において、選択したパッチのみとなります。
- Windows
- Microsoft
- Security Updates(セキュリティの更新):
Microsoft Office/Microsoft 365、Microsoft Edgeなどのセキュリティに関する更新や、
Microsoftがパッチチューズデーの際にリリースする累積更新プログラム(Cumulative Update)やサービス スタック更新プログラム(Servicing Stack Update) - Non Security Updates(セキュリティ以外の更新):
OfficeやEdgeなどの更新でセキュリティの更新以外のものや、Microsoftがパッチチューズデーの際にリリースする各種更新でセキュリティの更新以外のもの - Feature Packs:
Microsoftがリリースする、年に1~2回の大型パッチ( = 機能更新プログラム、Feature Update) - Service Packs:
.NET Framework の一部のパッチや、SQL serverの「Service Pack3 (SP3)」などのサービスパックがこの区分に分類されていましたが、2022年を最後に該当のパッチがリリースされていません。 - Optional Updates(任意のアップデート):
Microsoftがパッチチューズデー以外の週にリリースする更新プログラム(累積更新プログラムのプレビュー版はこの区分に含まれます) - Rollups(ロールアップ):
Windows 8 や Windows Server 2012 などの、品質ロールアップ(Monthly Quality Rollup)
※Windows 11 や Windows Server 2019 など、新しいOS向けの月例パッチはSecurity Updatesに分類されています。 - Preview Rollups(プレビューロールアップ):
品質更新プログラムのプレビュー版がこの区分に分類されていましたが、2020年を最後に該当のパッチがリリースされていません。
※最新の月例パッチのプレビュー版は Optional Updates に分類されています。 - Definition Update(定義ファイルの更新):
Desktop Central(Endpoint Central)が対応するアンチウイルスソフトのパターンファイル
- Security Updates(セキュリティの更新):
- Third Party Updates(サードパーティ更新):
Microsoft以外がリリースしたパッチです。 - Driver(ドライバー):
Desktop Central(10.0.423以降)が対応するWindows PCのデバイスドライバー
※ 一般的にデバイスドライバーとして知られているソフトウェアであっても、Desktop Central(Endpoint Central)では「ドライバー」として扱われていない場合があります(この場合、原則として「Third Party Updates」として扱われています)。特にパッチの自動配布などを設定する際には、以下の「該当するパッチの確認」に沿って、管理したいソフトウェアがどの区分であるかをあらかじめご確認ください。 - BIOS:
Desktop Central(10.0.423以降)が対応するWindows PCのBIOSアップデート
- Microsoft
- Mac
- Appleパッチ:
[パッチ管理タブ > パッチ > 適用可能なパッチ] などの画面で個々のパッチを検索する際などには、さらに以下の区分に分かれています。- Security Updates(セキュリティの更新)
- Non Security Updates:2024年現在、この区分に該当するパッチはありません。
- Service Packs: 新しいCombo Updateや、OSのアップグレードなど(この区分のパッチは、手動配布のみで配布できます。)
- Third Party Updates(サードパーティ更新)
- Appleパッチ:
- Linux
- Linuxパッチ
- Security Updates(セキュリティの更新)
- Non Security Updates(セキュリティ以外の更新)
- Third Party Updates(サードパーティ更新)
- Linuxパッチ
Windowsパッチの区分については、Microsoft社による説明をご覧ください。
Endpoint Centralがサポートするパッチ以外の情報は表示されません。サポート対象はこちらをご覧ください。
該当するパッチの確認
具体的にどのようなパッチがどの区分に該当するのかは、[パッチ管理タブ > パッチ > サポート済みパッチ] を開き、フィルター条件を設定することで確認できます。
(フィルター条件の設定例)
列:「プラットフォーム」、基準:「次と等しい」、値:「Windows」
「かつ」(右側の + ボタンで条件を追加できます)、
列:「パッチの種類」、基準:「次と等しい」、値:「Security Updates」
パッチ管理タブ > システム
パッチ管理タブ > システム 内の各ページについて
「パッチ管理」タブ > 左メニュー「パッチ」を 開くと、以下のようなメニュー画面がご覧いただけます。
各ページの内容は以下の通りとなります。
|
各カラムについて
- PC名: 管理対象PCのコンピューター名です。
- ログイン中のユーザー: コンピューターにログイン中のユーザーがいる場合、ユーザー名を表示します。
- OS: 管理対象PCのOSを表示します。
- サービスパック: 管理対象PCのOSのサービスパックです。
- ドメイン: 管理対象PCが所属するドメイン名またはワークグループ名です。
- IPアドレス: 管理対象PCのIPアドレスを表示します。
- MACアドレス: 管理対象PCのMACアドレスを表示します。
- 欠落パッチ: その管理対象PCで検出された欠落パッチの数を表示します。数字をクリックすると、詳細を表示します。また、「重大」「重要」「中」「低」のカラムでは、欠落パッチのうち深刻度ごとの欠落パッチ数を表示します。
- ステータス: システムステータスポリシーにて指定した条件に基づき、管理対象PCを「非常に脆弱」「脆弱」「正常」に分類します。
- 失敗したパッチ: 適用に失敗したパッチの数を表示します。数字をクリックすると詳細を表示します。
- インストール済みパッチ: 適用済みのパッチの数を表示します。
- すべてのパッチ: 欠落パッチとインストール済みパッチを合わせたパッチ数です。
- 最終スキャン時刻: 直近のパッチスキャン開始時刻を表示します。
- 最終スキャン成功時刻: スキャンに成功した直近のパッチスキャン開始時刻を表示します。
- スキャンに関する備考: 「スキャンは正常に完了しました」「エージェントに到達できません」など、スキャンを実行した際に表示される備考です。
- 最終再起動時刻: 管理対象PCの直近の再起動時刻です。
- 言語: OSの言語を表示します。
- リモートオフィス: ローカルオフィスまたはリモートオフィスが表示されます。
- タイムゾーン: 管理対象PCで設定されているタイムゾーンを示します。なお、日本標準時はGMT+9となります。
- 所有者 / 場所 / 検索タグ / メモ / メールアドレス: 管理タブ > インベントリの設定 > カスタムデータの追加 より、各管理対象PCに関する情報を手動またはCSVファイルで追加できます。これらのカラムでは、追加された情報を表示します。
パッチ管理タブ > 配布
パッチ管理タブ > 配布 内の各ページについて
- 手動配布:
パッチの手動配布の履歴が表示されます(ただし、過去のパッチ配布の構成を削除した場合は表示されません)。 - パッチテストと承認設定: パッチテストの実施や、パッチテストを実施する場合の承認について設定します。
- パッチ配布の自動化: パッチ配布の自動化を設定します。
- Windows Updateの無効化: 構成 > テンプレート 機能 を呼び出し、管理対象のWindows Updateを無効化します。
- 配布ポリシー: 配布の時間帯や、通知、再起動の有無などをポリシーとして指定します。
- ごみ箱に移動: パッチ配布の構成を削除した場合、「ごみ箱」に表示されますが、ここからごみ箱を空にできます。
パッチ管理タブ > レポート
パッチレポートがご覧いただけます。
パッチ管理タブ > 設定
パッチ管理タブ > 設定 内の各ページについて
- パッチの拒否:
パッチの自動配布を構成する場合に、特定のパッチを適用させない「パッチの拒否」を設定します。
- システムステータスポリシー:
重要度ごとの欠落パッチ数に基づき、管理対象PCを「正常」「脆弱」「非常に脆弱」に分類しますが、その基準となる重要度と個数についてを設定します。
- プロキシ設定
プロキシが設置されている場合に設定をします。閉域ネットワークにサーバーを設置する場合も、プロキシ設定を構成します。
- パッチDBの設定
パッチ管理を実施する場合は、最初にパッチDBの構成が必要です。
- Red Hat Linuxの設定
Red Hat Enterprise Linuxのパッチ管理を行う場合は、アカウント情報の登録と指定システムの設定が必要です。
- SUSE Linuxの設定
SUSE Linuxのパッチ管理を行う場合は、アカウント情報の登録が必要です。
- クリーンアップ設定
不要となったパッチを定期的にパッチリポジトリから削除する場合は、クリーンアップ設定を構成します。Endpoint Centralの使用するディスク容量を節約する際に有効です。
パッチ管理タブ > 更新
更新 をクリックすると、パッチDBとの同期を実行します。詳細はパッチDBの設定 / パッチDBの同期(更新)をご覧ください。