どのパッチを適用すればよいのでしょうか。
質問
Patch Manager Plusを導入したのですが、どのパッチを適用すべきでしょうか。
回答
Patch Manager Plusは管理対象へのパッチスキャンにより必要なパッチを「欠落パッチ」として自動的に検出しますので、必要なパッチを簡単に確認可能です。
また、各ベンダーが指定したパッチの重要度(脅威度)ごとに分類が可能です。
実際に適用するパッチの選定は、自社のセキュリティポリシーによるところが大きいと存じますが、「欠落パッチ」として検出されているパッチのうち、重要度が高いものを適用することを提案いたします(パッチの適用にあたっては、お客様での検証をお願いいたします。また、お客様の環境やシステムの用途等により影響の大きさは異なるため、パッチの修正内容をよくご確認ください。Bulletin IDや、パッチIDをクリックして表示されるパッチの詳細情報ウィンドウなどから、ベンダーサイトへアクセスできます)。
パッチの適用方法は、 自動配布 または 手動配布 を選択可能です。自動配布の場合でも、承認設定を有効化することで、管理者が承認したパッチのみを適用することが可能です。
Windows 10の更新プログラム(Feature Update:半年に1度の大型アップデート/Quality Update:毎月のアップデート)管理につきましては、Windows 10に関する各ナレッジも合わせてご覧ください。
- パッチスキャンの実行方法
- Patch Manager Plusにログインし、管理対象へのエージェントインストールが完了していることを確認します。
- パッチDBの設定が完了していることを確認します。
- システム タブ > 左メニューの「システムスキャン」 より、対象を選択して「システムスキャン」をクリックするか、または「すべてスキャン」をクリックします。
システムスキャンは上記手順での手動スキャンのほか、定期的に実行されるパッチDBとの同期の直後においても自動的に実行されます。
- 「欠落パッチ」の確認方法
- Patch Manager Plusにログインし、パッチタブ > 左メニューの「欠落パッチ」 を開きます。
- パッチスキャンにより、管理対象中で欠落しているパッチの一覧が表示されます。どのPCで欠落しているかを確認するには、「欠落システム」列の数字をクリックすることで、詳細がご覧いただけます。
各PCごとの欠落パッチを確認するには、 システムタブ を開き、「非常に脆弱なシステム」「脆弱なシステム」「正常なシステム」の各ページをご覧ください。
詳細な手順につきましては、スタートアップガイド / オンラインガイド も合わせてご確認ください。
パッチ管理のワークフローについて
基本的には、以下のステップを繰り返し実行することで、組織内のパッチ管理を運用します。
基本的には、以下のステップを繰り返し実行することで、組織内のパッチ管理を運用します。
- 脆弱性情報の収集
「パッチDBの同期」により、対応するOS/アプリケーションの脆弱性情報を自動的に収集します。 - 管理対象のスキャン
パッチスキャンを定期的に実行することで、管理対象の欠落パッチを検出します。 - 脆弱な対象の特定
欠落パッチが存在する管理対象PCを特定します。必要に応じてパッチテストを実施します。 - パッチのダウンロードと配布
パッチの手動配布または自動配布により、パッチをベンダーサイトからダウンロードし、管理対象にインストールします。 - レポートの生成による確認
パッチの適用状況をレポートにより確認可能です。随時ステータスを更新してエクスポートが可能なほか、定期的にレポートを出力することも可能です。