注意:説明画像内において、以下のような黄緑色のチェックマークで示されている項目、また、各項目・機能の説明において有料オプションであると記載されている項目は、有料のオプションパックに含まれる内容です。オプションを購入されていないお客様の環境では、オプションの設定項目は表示されません。


注意:この機能・設定は有料のオプションパックに含まれる内容です。


 パッチ管理機能は以下の機能を提供します。

  • OSレベルとアプリケーションレベルのアップデートをインストールする
  • パッチを手動または自動で承認する
  • オンデマンドモードまたはスケジュールモードでパッチをインストールする
  • さまざまな基準(重大度、カテゴリ、承認ステータス)に基づいて、インストールするパッチを細かく定義する
  • アップデートの失敗に備えてアップデート前のバックアップを実行する
  • パッチのインストール後の再起動アクションを定義する


【利用方法】

 「パッチ管理」機能が提供する各機能・設定の利用方法の概要は、以下のフローチャートをご確認ください。

  1. 本機能を用いるためには、脆弱性診断が有効化された保護計画を利用し、脆弱性診断スキャンを1回以上実行する必要があります。これを実行すると、検出された脆弱性とそれに対して利用可能なパッチのリストが作成されます。
  2. その後、自動パッチ承認、または手動パッチ承認を用いてパッチの承認を行います。
  3. 手動パッチ承認には、スケジュールモードとオンデマンドモードの2種類があり、オンデマンドモードでは、デバイス一覧からのインストール、パッチ一覧からのインストール、脆弱性一覧からのインストールの3種類のインストール方法があります。
    1. デバイス一覧 からのインストール
       デバイスのリスト ([ソフトウェア管理] > [すべてのデバイス]) に進み、パッチのインストール作業を行います。
    2. パッチ一覧 からのインストール
       パッチのリスト ([ソフトウェア管理] > [パッチ]) に進み、パッチのインストール作業を行います。
    3. 脆弱性一覧 からのインストール
       脆弱性のリスト ([ソフトウェア管理] > [脆弱性]) に進み、パッチのインストール作業を行います。
  4. パッチのインストールの結果は、[ダッシュボード] > [概要] > パッチインストール履歴 のウィジェットから確認することができます。


【保護計画のオプション】

 「パッチ管理」機能を有効化した保護計画を作成します。

  1. [計画] > [保護] から、既存の保護計画の編集・新規作成を行います。「パッチ管理」機能を有効化します。
     各設定内容の説明は以下の通りです。
    • Microsoft製品:
       保護計画が適用されているマシンにMicrosoft製品のアップデートをインストールするためには、このオプションを有効化する必要があります。
      • すべてのアップデート
      • セキュリティアップデートと重要なアップデートのみ
      • 特定の製品のアップデート:製品ごとに任意の設定を行うことができます。カテゴリ、重大度、承認ステータスに基づいて、どのようにアップデートを行うかを製品ごとに設定します。
    • Windowsサードパーティ製品:
       保護計画が適用されているマシンに、Windows向けサードパーティ製品のアップデートをインストールするためには、このオプションを有効化する必要があります。
      • メジャーアップデートのみ
      • マイナーアップデートのみ
      • 特定の製品のアップデート:製品ごとに任意の設定を行うことができます。カテゴリ、重大度、承認ステータスに基づいて、どのようにアップデートを行うかを製品ごとに設定します。
    • スケジュール:選択したマシンにアップデートをインストールするためのスケジュールを設定します。

    • アップデート前のバックアップ
       アップデートのインストール前に、マシンのバックアップを行います。増分バックアップが行われますが、以前のバックアップが作成されていない場合は、マシンの完全バックアップが行われます。これにより、アップデートのインストールが失敗した場合でも、直前の状態を復元することができるようになります。このオプションを有効とするためには、「パッチ管理」機能のほかに「バックアップ」機能も有効化されている必要があります。また、バックアップを行う項目を選択する必要があります。


【パッチのリストの項目の説明】

 脆弱性診断スキャンの完了後、[ソフトウェア管理] > [パッチ] より有効なパッチの一覧を確認することができます。各項目の内容は、以下の通りです。

  • 名前:バッチの名前です。
  • 重大度:バッチの重大度です。重大、高、中、低の4段階と「なし」の計5種類となります。
  • ベンター:パッチのベンターです
  • 製品:パッチを適用する製品名です。
  • インストール済みバージョン:マシンに既にインストールされている製品バージョンです。
  • バージョン:パッチのバージョンです。
  • カテゴリ:パッチのカテゴリです。それぞれのカテゴリの説明は以下の通りとなります。
    • 重要なアップデート:
       重要なバグやセキュリティ以外のバグなど、特定の問題について広くリリースされているアップデートです。
    • セキュリティアップデート:
       セキュリティの問題に対応するため、特定の問題について広くリリースされているアップデートです。
    • 定義アップデート:ウイルスなどの定義ファイルのアップデートです。
    • アップデートロールアップ:
       Hotfix、セキュリティアップデート、重要なアップデートなどの累積アップデートとなります。各種のアップデートをまとめてパッケージ化し、インストールを行いやすくしたものです。
    • サービスパック:
       製品のリリース以降に作成されたすべてのHotfix、セキュリティアップデート、重要なアップデートの累積アップデートとなります。これには、カスタマーからのリクエストがあった設計変更や機能が限定的に盛り込まれている場合があります。
    • ツール:タスクの実行に役立つユーティリティや機能です。
    • 機能パック:新機能のリリースです。通常、次回のリリース時に製品に組み込まれます。
    • アップデート:重要ではないバグやセキュリティ関連以外のバグに対応した、特定の問題について広くリリースされるアップデートです。
    • アプリケーション:アプリケーションに対するパッチです。
  • Microsoft KB:Microsoft製品のパッチである場合は、KB (ナレッジベース) の記事IDが表示されます。
  • リリース日:パッチがリリースされた日付です。
  • マシン:影響を受けたマシン数が表示されます。
  • 承認ステータス:
     承認ステータスは、自動パッチ承認を行う場合に必要となります。保護計画で、どのステータスの場合にアップデートをインストールするかを設定します。各ステータスの説明は以下の通りとなります。
    • 承認済み:少なくとも1台のマシンにパッチがインストールされており、問題がないことが確認されています。
    • 拒否済み:このパッチは安全ではなく、マシンのシステムを破損する可能性があります。
    • 未定義:パッチのステータスが不明であり、確認が必要です。
  • ライセンス契約:「よく読んだ上で同意」と「同意しない」の2種類のステータスが存在します。「同意しない」場合は、パッチの承認ステータスが [拒否済み] となり、そのパッチはインストールされません。
  • 脆弱性:脆弱性の数です。クリックすると、脆弱性のリストへリダイレクトされます。
  • サイズ:パッチの平均サイズです。
  • 言語:パッチでサポートされている言語です。
  • ベンターサイト:ベンターの公式サイトのアドレスが表示されます。

〔リスト内のパッチのライフタイムの設定〕

 パッチのリストの内容を常に最新のものとするために、検出された有効なパッチをパッチのリストに表示する期間を設定することができます。この設定は、[ソフトウェア管理] > [パッチ] > [設定] から行うことができます。
 「リスト内のライフタイム」設定のオプションは以下の通りです。

  • 永久:リストからパッチを削除しません。
  • 7日:インストールから7日経過すると、パッチをリストから削除します。
     2つのマシンへパッチのインストールを行う際、1つのマシンがオンラインで、もう1つのマシンがオフラインであった場合、オフラインのマシンへパッチのインストールを行われていない場合でも、7日経過時点でパッチリストからパッチが削除されます。
  • 30日:インストールから30日経過すると、パッチをリストから削除します。 挙動については、7日の例と同様となります。


【手動パッチ承認の手順】

 手動パッチ承認の手順は以下の通りとなります。

  1. バックアップ管理画面から、[ソフトウェア管理] > [パッチ]、デバイスのリスト ([ソフトウェア管理] > [すべてのデバイス])、脆弱性のリスト ([ソフトウェア管理] > [脆弱性]) のいずれかに進みます。
  2. インストールするパッチを選択し、ライセンス契約を読んで同意します。
  3. インストールを承認するパッチの [承認ステータス] を [承認済み] に設定します。
  4. [パッチ管理] のモジュールを有効化した保護計画を作成します。スケジュールの設定を行うか、オンデマンドモードで計画を起動します。オンデマンドで行う場合は、パッチ管理のモジュール設定で [今すぐ実行] をクリックします。保護計画で設定可能な項目については【保護計画のオプション】をご確認ください。
  5. 保護計画で選択されたマシンに、承認済みのパッチのみがインストールされます。


【自動パッチ承認の手順】

 自動パッチ承認の手順は以下の通りとなります。自動パッチ承認では、本番環境の他にテスト環境を用意し、テスト環境にてパッチのインストールのテスト・問題の確認を行うことによって、本番環境にて、安全なパッチのみのインストールを行うことができます。

  1. バックアップ管理画面から、[ソフトウェア管理] > [パッチ] に進みます。
  2. パッチを選択し、ライセンス契約を読んで同意します。アップデートを行おうとしている製品のベンターごとに、ライセンス契約を読んで同意する必要があります。同意しない場合、自動パッチ承認を実行することができません。
  3. 自動承認の設定を行うため、バックアップ管理画面から、[ソフトウェア管理] > [パッチ] に進みます。
  4. [設定] をクリックします。
  5. [自動承認] オプションを有効化し、日数を設定します。パッチのインストールを最初に試みてから指定された日数が経過すると、[未定義] ステータスのパッチが、[承認済み] ステータスとなり、本番環境でのインストールが可能となります。
  6. [使用許諾契約の自動承認] オプションを有効化します。これにより、パッチのインストール時のライセンス同意が自動的に処理され、ユーザーによる確認が不要となります。
  7. バックアップ管理画面の [計画] > [保護] から、テスト環境用に「パッチ管理」機能を有効化した保護計画を作成し、テスト環境のマシンに適用します。この際、パッチの承認ステータスが [未定義] のパッチをインストールするよう、パッチのインストール条件を指定します。保護計画で設定可能な項目については【保護計画のオプション】をご確認ください。
  8. バックアップ管理画面の [計画] > [保護] から、本番環境用に「パッチ管理」機能を有効化した保護計画を作成し、本番環境のマシンに適用します。この際、パッチの承認ステータスが [承認済み] であるパッチをインストールするよう、パッチのインストール条件を指定します。保護計画で設定可能な項目については【保護計画のオプション】をご確認ください。 
  9. テストパッチを実行し、結果を確認します。問題のないパッチの承認ステータスはそのまま [未定義] とし、問題のあったパッチのステータスは [拒否済み] に変更します。
  10. [自動承認] オプションで設定した日数に応じて、[未定義] のパッチが [承認済み] となります。
  11. 本番環境向けに設定した保護計画を起動すると、[承認済み] のパッチのみが本番環境にインストールされます。