用語集(Patch Manager Plusで用いられる用語)
この記事では、Patch Manager Plusで使用される用語について簡単に説明します。
「はじめに」も合わせてご覧ください。
Patch Manager Plusで使用される用語
インストール・セットアップ関連
| 用語 | 内容 |
|---|---|
| サーバー Patch Manager Plusサーバー 製品サーバー |
「ManageEngine UEMS - Server」という名称のWindowsサービスのこと、またはこのサービスをホストするWindows Serverマシン(仮想端末・物理端末いずれも可)のことを指す。 関連ページ: Patch Manager Plusの構成要素、 使用するポート ※ 製品ダウンロードページ上において、単に「Patch Manager Plus(のダウンロード)」と表記している場合、「Patch Manager Plusサーバー」のセットアップを行うためのインストーラーをダウンロードすることを指しています。 |
| クライアント | Patch Manager Plusの管理対象となるコンピューター。「管理対象」「管理PC」「管理対象端末」と同じ。 関連ナレッジ: サポートOS |
| エージェント | Patch Manager Plusが情報を収集したりパッチを配布したりするために、各クライアントPCにインストールされたプログラム。各エージェントはPatch Manager Plusサーバー(および配信サーバー)に対して通信を行い、戻りの通信としてパッチが配信される。 関連ナレッジ: エージェント設定、 エージェント側から可能な操作 |
| WANエージェント | リモートオフィス向けのエージェントを特に「WANエージェント」と呼ぶ場合がある。ローカルオフィス向けのエージェントは「LANエージェント」または「ローカルエージェント」と呼ぶ。 |
| 配信サーバー | パッチ配布やリモートオフィスへのエージェントインストールなど、Patch Manager PlusサーバーとPatch Manager Plusエージェント間の通信の一部を中継するサーバー。複製ポリシーにもとづき、サーバーのパッチリポジトリの内容を、管理下のエージェントが参照できるよう定期的に複製する。管理対象の台数が多い場合やリモートオフィスを管理する場合の帯域幅消費低減などの目的で追加する。 |
| 複製ポリシー | Patch Manager Plusサーバーとリモートオフィスの配信サーバー(またはローミングユーザーとなっているエージェント)の通信について、帯域幅などを制限する機能。複製ポリシーのうち一部の項目は、配信サーバーに対してのみ有効で、ローミングユーザーとなっているエージェントには適用されない。 |
| SQLサーバー | 管理対象の台数が非常に多い場合、Patch Manager Plusサーバーの負荷を軽減する目的でSQLサーバーを導入する必要がある。 |
| ローカルオフィス | Patch Manager Plusでは、エージェントが所属する集まりとして、次の項目で説明する「リモートオフィス」と呼ばれる集まりを設定することができる。リモートオフィスは複数設定することができ、各エージェントはいずれか1つのリモートオフィスに所属するか、またはいずれのリモートオフィスにも所属しない。リモートオフィスに所属しないエージェントは、「ローカルオフィス」と呼ばれる集まりに所属する。そのため、Patch Manager Plusサーバーが設置されている同一ネットワーク(LAN)内のエージェント(のうち、全てまたは一部のみ)をローカルオフィスに所属させ、それ以外のエージェントをリモートオフィスに所属させるという運用を行うことが可能である。 |
| リモートオフィス | ローカルオフィスに所属しないエージェントを所属させるための集まり。配信サーバーの無い場合はローミングユーザーとなる。IPスコープを設定することで、エージェントがインストールされたコンピューターを別のリモートオフィスに移動しても継続して管理が可能になる。なお、リモートオフィスの使途として、Patch Manager Plusサーバーが設置されたネットワーク以外のネットワークに置かれている端末をリモートオフィスに所属させるという運用が想定されるが、こうした端末に対して管理を行うには、専用線やVPNなどでPatch Manager Plusサーバーに接続させるか、Patch Manager Plusサーバーをインターネットと通信可能にする(Patch Manager Plusサーバーを公開する または セキュアゲートウェイサーバーを導入する)必要がある。 |
| ローミングユーザー | 配信サーバーを設置していないリモートオフィスに所属するクライアント。Patch Manager Plusサーバーとの通信は、インターネット回線経由となる。小規模な拠点や、リモートワークで使用する端末などが相当する。 |
| セキュアゲートウェイサーバー | DMZに設置し、インターネットとPatch Manager Plusサーバーとの通信を中継するサーバー。Patch Manager Plusサーバーを直接公開せずに済むため、導入することでセキュリティの向上につながる。 |
パッチ管理機能
| 用語 | 内容 |
|---|---|
| 配布 | Patch Manager Plusコンソール画面からの手動操作またはパッチ配布の自動化によって、管理対象へパッチをインストールすること。 |
| リフレッシュサイクル | エージェントからのPatch Manager Plusサーバーへの定期的な通信。Patch Manager Plusの仕様でリフレッシュサイクルは90分間隔となっており、タイミングがエージェントごとに少しずつ異なるようになっている。リフレッシュサイクルにより、LANの帯域幅消費やPatch Manager Plusサーバーの負荷が軽減される。 |
| Zohoパッチリポジトリ | ZOHO Corporationが管理するパッチ情報のデータベース。外部クローラーが各OS/ソフトウェアベンダーのサイトを巡回して収集した最新のパッチ情報が格納されている。Patch Manager Plus(およびEndpoint Central)は、パッチDBをZohoパッチリポジトリと同期させることで、最新のパッチ情報を取得する。パッチDBの同期はスケジューラー設定による定期的な同期のほか、手動でも実行できる。Patch Manager Plusサーバーがオフラインの環境で管理する場合は「閉域ネットワーク環境におけるパッチ管理」を参照。 |
| パッチリポジトリ(パッチストア) | Patch Manager Plusサーバー/配信サーバー内にある、ダウンロードしたパッチを保存する場所。サーバー外のネットワーク内の共有フォルダーに設定することも可能。パッチリポジトリの容量を最小限に抑える場合は、クリーンアップ設定を構成する。 |
| 重大性(重要度) | ベンダーによって指定された各パッチの重要性/脆弱性の深刻度。パッチIDをクリックして表示されるリンクから、各ベンダーサイトにアクセスして内容を確認することも可能。 |
| 欠落パッチ | Patch Manager Plusエージェントが実行するパッチスキャンにより検出された、適用可能だがまだ適用されていないパッチ。 関連ナレッジ: パッチの種類と分類 |
| インストール済みパッチ | Patch Manager Plusエージェントが実行するパッチスキャンにより検出された、すでに適用済みのパッチ(ただし、Windows OSの更新プログラムに関して、リリースから3か月以上経過している適用済みのものは、基本的に表示されない)。 関連ナレッジ: パッチの種類と分類 |
| 適用可能なパッチ | 欠落パッチとインストール済みパッチを合わせたもの。 関連ナレッジ: パッチの種類と分類 |
| 承認設定 | パッチ配布の自動化を設定した場合、Patch Manager Plusはステータスが「承認済み」となっているパッチのみを配布する。承認設定はこのステータスの変更方法を指定する。
承認設定は、 配布タブ > 配布 > パッチテストと承認設定 から 設定する。なお、手動配布では承認ステータスに関わらずパッチを配布できる。 |
| パッチの拒否 | パッチ配布の自動化において、適用させたくないパッチのステータスを事前に「拒否済み」にすること。Patch Manager Plusはステータスが「拒否済み」のパッチを自動的には配布しない。アプリケーション単位や、特定のパッチに対して設定可能。 |
| 配布ポリシー | パッチの配布を許可する曜日・時間帯(=配布ウィンドウ)や、配布前後の動作をポリシーとして設定したもの。スケジューラー設定や「今すぐ配布」ボタンのクリックなど、他の項目で時間の条件を指定した場合は、その条件と配布ポリシーの条件のAND条件となる。 |
| 配布ウィンドウ | 配布ポリシー内の項目の一つで、時間帯を指定する項目。なお、配布ウィンドウの開始前に必要なファイルの事前ダウンロードが完了している場合を除き、実際の配布は、配布ポリシーの時間帯内の最初のリフレッシュサイクルのタイミング/最初の起動のタイミングで実行されるため、配布ウィンドウの開始時間ちょうどに開始するとは限らない。配布ウィンドウで指定するのは、厳密にはインストールの開始を許可する時間帯であるため、配布ウィンドウ終了時間までにインストールが終了しない場合が考えられる。 関連ナレッジ: 配布ポリシー |
| 再起動ウィンドウ | 再起動を許可する時間帯。 |
| 今すぐ配布 | 配布ウィンドウやスケジューラー設定により、時間帯を制限していない場合において、「今すぐ配布」を選択するとパッチ配布などの構成を即時適用する。 関連ナレッジ: 「配布」と「今すぐ配布」の違い |
| パッチスキャン | 管理対象端末のパッチのインストール状況を確認するために、各エージェントが実行する。パッチDBとの同期直後などに実行されるスケジュールパッチスキャンと、任意のタイミングで実行する手動スキャンがある。手動スキャンは管理者が システム > システムスキャン から実行することに加えて、各端末のエージェント通知領域アイコンを右クリック > Scanから実行することも可能。 関連ナレッジ: 手動パッチスキャン、 スケジュールパッチスキャン |
| システムステータスポリシー | 欠落パッチの重大性(深刻度)ごとの数に応じて、各管理対象PCを「正常」「脆弱」「非常に脆弱」に区分する。この基準をシステムステータスポリシーと呼び、 システム > システムステータスポリシーから変更できる。管理基準に合わせて適切に編集することで、ダッシュボードから現状を簡単に把握できる。 |
| 構成 | 管理対象端末に対してパッチを配布したり、管理対象端末側での(Patch Manager Plusによらない)自動更新を無効化したりする操作。過去の配布や現在配布中のタスクの進行状況などは、配布タブをクリックして表示される「すべてのパッチ構成」から確認が可能。 |