Patch Manager Plus オンプレミス版 ナレッジベース

パッチDBの設定 / パッチDBの同期(更新)


この記事では、パッチDBの設定について説明しています。また、合わせてパッチDBの同期(更新)についても説明しています。

パッチDBの設定/パッチDBの同期(更新)

パッチDBとは

Patch Manager Plusでパッチ管理を始める際、最初に設定するのがパッチDBの同期です。パッチDBの同期では、管理するパッチの範囲を指定します。

製品開発元であるZOHO Corporationは、クローラーで各ベンダーのWebサイトから収集した脆弱性情報をデータベース(Zohoパッチリポジトリ)に格納しています。Patch Manager Plus(およびEndpoint Central)は、「パッチDBの設定」にもとづきZohoパッチリポジトリと情報を同期することで、Windows / Mac / Linux のOSや、対応するサードパーティ製品の最新のパッチ情報(脆弱性情報)を自動的に取得します。

パッチ管理をする上で、Patch Manager PlusサーバーはパッチDBの同期を必ず実行する必要があります。スケジュール同期は毎日1回指定した時間に実行されます(同期完了後に各管理対象コンピューターにおいてパッチスキャンが実行されます)。なお、パッチがパッチリポジトリに追加されるまでの時間の目安はこちらをご覧ください。

ただし、閉域ネットワーク(隔離環境、エアギャップ =インターネットとの通信が一切ない環境)にPatch Manager Plusサーバーを設置する場合、パッチDBと直接通信せずにパッチ管理を行うことが可能です。詳細は 閉域ネットワークにおけるパッチ管理 をご覧ください。

 


パッチDBの初期設定
  1. 以下の方法で設定画面を開きます。
    • 「管理」タブ →「パッチ設定」→「パッチDBの設定」
  2. 管理するパッチの種類をOSごとにチェックを入れ、選択します。
    • Windows
      Microsoftパッチ/サードパーティーパッチ/ドライバー/BIOS
    • Mac
      Appleパッチ/サードパーティーパッチ
    • Linux
      Linuxパッチ/サードパーティーパッチ
      ※ Linuxエージェント設定が完了していない場合、Linuxパッチ/サードパーティパッチを選択できません。

    (設定例)

    パッチの分類については、こちらのナレッジ内の「パッチの種類」をご確認ください。
  3. Windowsの更新プログラムについて、最新版以外のパッチを配布するような運用が必要な場合は、「更新済みパッチの適用を有効化する」にチェックを入れます(Patch Manager Plus 10.1.2137.11以降で利用可能)。
    更新済みパッチについてはこちらのナレッジをご覧ください。なお、Feature Update(=機能更新プログラム)については例外的に、この項目を有効化しない状態でも、必要なファイルが入手可能であれば最新版以外の機能更新プログラムを配布可能です。
     
  4. スケジュールの有効化にチェックを入れ、同期時刻を指定します
    スケジュール同期を有効化することで、毎日指定した時刻にZohoパッチリポジトリと同期し、最新のパッチ情報(脆弱性情報)を自動的に入手できます。また、必要に応じて通知メールアドレスや通知モバイルアプリ(Android/iOS用Patch Manager Plusネイティブアプリ)を指定します。

    パッチDBの同期完了後のリフレッシュサイクルにおいて、管理対象で自動的にパッチスキャンが実行されます(パッチスキャンにより、欠落パッチを検出します)。そのため、パッチDBの同期時刻を指定することで、スケジュールパッチスキャンの時間を間接的に指定することになります。
  5. パッチDB同期の管理(Patch Manager Plus 11.3.2400.33以降で利用可能): 必要に応じて有効化します。この項目を有効化すると、パッチDBの同期を延期したり、スケジュール時刻以外にも同期を実行したりできるようになります。
    • パッチDBの同期を延期する場合:ベンダーからリリースされたパッチに深刻な不具合が確認されたような場合は、パッチDB同期の時刻がきても同期を実行せず、当該パッチの修正がなされるまで同期を延期します(ベンダーの対応にもよりますが、現状この延期が実行された場合でも遅延は6時間未満です)。
      また、深刻な不具合が含まれるパッチが自動配布や手動配布にすでに含まれるような場合は、タスク/構成を一時的に停止します。
    • パッチDBの同期を追加で実行する場合:きわめて深刻な脆弱性が発見され、そのパッチが緊急的にリリースされた場合、パッチDB同期の時刻を待たずに同期を実行します。なお、パッチDBの延期中であってもこちらが優先されます。

以上で、パッチDBの初期設定が完了します。
Patch Manager Plusで管理するパッチの種類を変更する場合は、パッチDB設定を編集します。パッチDBの設定において選択した種類のパッチのみが、Patch Manager Plusのパッチ管理タブ以下の各ビューに表示されます。選択していない種類のパッチは管理スコープ外となり、欠落パッチとして検出されず、コンソール画面上にも表示されません。

 


パッチDBの同期(更新)

パッチDBを同期(更新)する方法は以下の種類があります。手順はそれぞれ以下の通りです。

  • (A) パッチDBの初期設定において、「スケジュールの有効化」を設定することによるスケジュール同期
    毎日1回、指定した時刻にパッチDBと通信し、Patch Manager Plusサーバーは最新のパッチ情報を取得します。なお「パッチDB同期の管理」を有効化すると、指定時刻以外にも同期を実行したり、指定時刻の同期を延期することがあります。
     
  • (B) 手動同期
    • 「パッチ」タブ → 「パッチDB(脆弱性DB)の更新」→「更新」をクリックします。
    • 「システム」タブ → 「パッチDB(脆弱性DB)の更新」→「更新」をクリックします。
    • 「配布」タブ → 「パッチDB(脆弱性DB)の更新」→「更新」をクリックします。

パッチDB同期の直後のリフレッシュサイクルにおいて、管理対象PCに対してスケジュールパッチスキャンが実行されます。

パッチDB同期で発生する通信量
パッチDB同期によって発生する平均的な通信量は、おおよそ以下の通りです。

  • DB同期に成功し差分データのみを取得する場合: 25 MB ~ 30 MB
  • DB同期に失敗しデータを全て取得する場合や、DBスキーマの変更があった場合: 125 MB ~ 300 MB

パッチがベンダーからリリースされてからパッチDBで利用可能になるまでの時間
パッチの種類ごとに異なります。詳細はこちらをご覧ください。