どのパッチを適用すべきでしょうか。
質問
Endpoint Central (Patch Manager Plus) でパッチ管理を実施する場合、多数の欠落パッチが検出されますが、具体的にどういった基準でパッチを適用すべきでしょうか。
回答
業界ごとのガイドラインや、組織におけるセキュリティポリシーに沿ってパッチを適用することをお勧めいたします。
Endpoint Central(Patch Manager Plus)のみで全ての評価基準を満たせるとは限らないこと、製品ではセキュリティパッチ以外の適用も可能であることを踏まえて、基準を設定していただくようお願いいたします。
パッチ管理の仕組み
パッチ管理機能では、パッチDBの同期と管理対象へのパッチスキャンにより、サポート対象アプリケーションやOSの欠落パッチを自動的に検出します。
未適用のパッチ一覧を簡単に確認可能であるほか、各ベンダーが指定したパッチの深刻度ごとに分類が可能です。
管理する資産の選定
Endpoint Central(Patch Manager Plus)で管理するコンピューター(パソコンやサーバー)には、必ずエージェントをインストールする必要があります。
エージェントは必ず1つのリモートオフィス(またはローカルオフィス)に所属します。リモートオフィスは、組織の拠点ごとに設定することをお勧めします。詳細はリモートオフィスのナレッジをご覧ください。
また、リモートオフィスとは別に「カスタムグループ」という任意のコンピューターやユーザーをグループ化する機能もあります。組織の部署ごとなど、パッチを配布する上で都合がよくなるようカスタムグループを作成することをお勧めします。
またEndpoint Centralにはモバイルデバイス管理(MDM)機能があり、iPhoneやAndroidデバイスのOS更新やアプリ更新が可能です(デバイスの登録方法によっては更新を自動化できない場合があります)。
組織内の資産を登録して管理する場合、すべての資産に対してパッチ管理を実行するのか、サーバーなど一部の資産は運用の都合上、パッチ管理の対象外とするのかを検討します。
導入の検証段階などでは、導入する資産の種類が多いと検証が長期化する可能性が高くなるため、検証や導入スケジュールを踏まえて優先順位をつけることをお勧めします。
適用するパッチの選定
実際に適用するパッチの選定はお客様のセキュリティポリシー次第ですが、はじめに管理範囲を定義し、「欠落パッチ」として検出されているパッチのうち重要度が高いものを選択して適用することが基本です。
(パッチの適用にあたっては、お客様での検証をお願いいたします。また、お客様の環境やシステムの用途等により影響の大きさは異なるため、パッチの内容をよくご確認ください)。
- どのOS/アプリケーションのパッチを管理するか → はじめにパッチDB設定で定義します。
- 他の方法によるパッチ配布を停止する → Windows Updateの停止や、グループポリシーによる設定を解除します。
- どの重要度のパッチがいくつ欠落している状態を危険と判断するか → システムステータスポリシー で設定します。
- 本番環境への配布前にテストを実施するか、実施する場合の承認を手動またはスケジュール設定するか → パッチテストと承認設定 で設定します。適用したくないパッチやアプリケーションは パッチの拒否において設定します。
デフォルトではすべての種類が選択されていますが、環境によっては選択不要な種類のパッチも含まれます。ナレッジを参考に、必要に応じてチェックを外してください。
- MacやLinuxのパッチを管理しない → Mac、Linuxのチェックを外す
- Microsoftのプレビュー(先行配信)を適用しない → プレビューロールアップのチェックを外す
- Microsoft Defenderなどサポート対象のアンチウイルスソフトの定義ファイルをEndpoint Centralで管理しない → 定義ファイルの更新のチェックを外す
パッチの配布と適用
パッチの適用方法は、パッチの種類を事前に選択しておく自動配布 と、配布するパッチを手動で選択する手動配布から選択可能です。自動配布の場合でも、承認設定を有効化することで、管理者が承認したパッチのみを適用することが可能です。
Windows 11の更新プログラム(機能更新プログラム=Feature Update=大型アップデート/Quality Update=毎月のアップデート)管理については、「Windows 10 / 11の更新プログラム管理」も併せてご覧ください。
- パッチスキャンの実行方法
- Endpoint Centralにログインし、管理対象へのエージェントインストールが完了していることを確認します。
- パッチDBの設定が完了していることを確認します。
- 「パッチ管理」タブ →左カラムの「システム」の「システムスキャン」を開き、実行対象を選択して「システムスキャン」をクリックするか、または「すべてスキャン」をクリックします(→手動パッチスキャンが実行されます)。
なおパッチスキャンは1日1回のパッチDBとの同期後にも自動的に実行されます(スケジュールパッチスキャン)。
- 「欠落パッチ」の確認方法
- Endpoint Centralにログインし「パッチ管理」タブ →左カラムの「パッチ」→「欠落パッチ」を開きます。
- パッチDB同期とパッチスキャンで検出された、管理対象中で欠落しているパッチの一覧が表示されます。どのPCで欠落しているかを確認するには、「欠落システム」列の数字をクリックすることで、詳細がご覧いただけます。また、管理対象全体で欠落しているパッチの一覧は、「詳細ビュー」をクリックして表示します。
詳細な手順につきましては、以下のナレッジをご覧ください。
また、スタートアップガイドも合わせてご確認ください。
基本的には、以下のステップを繰り返し実行することで、組織内のパッチ管理を運用します。
- 脆弱性情報の収集
「パッチDBの同期」により、対応するOS/アプリケーションの脆弱性情報を自動的に収集します。 - 管理対象のスキャン
パッチスキャンを定期的に実行することで、管理対象の欠落パッチを検出します。 - 脆弱な対象の特定
欠落パッチが存在する管理対象PCを特定します。必要に応じてパッチテストを実施します。 - パッチのダウンロードと配布
パッチの手動配布または自動配布により、パッチをベンダーサイトからダウンロードし、管理対象にインストールします。 - レポートの生成による確認
パッチの適用状況をレポートにより確認可能です。随時ステータスを更新してエクスポートが可能なほか、定期的にレポートを出力することも可能です。