カスタム パッチ構成の作成

この領域では、どのようなパッチを配布するか (配布オプション) 、配布プロセス中にターゲット コンピュータの再起動要求を送信するかどうかとそのタイミング (再起動動作) を構成できます。 同じパッチ構成内で、オペレーティング システムごとに異なる配布動作を構成できます。

オペレーティング システムごとの配布の有効化

オペレーティング システムごとに個別にパッチ配布の有効化と無効化を行えます。 [配布の動作] で、目的のオペレーティング システムを選択した後、必要に応じて [パッチの配布] を設定します。

スキャンのみのパッチ構成を作成するには、すべてのオペレーティング システム タブの配布トグルをオフにします。

配布オプション

構成可能な配布オプションは、オペレーティング システムによって最大3つあります。

• Windows: [重要度別に配布]、[パッチ グループ別の配布/除外]、および [選択したベンダー/製品]
• Mac: [重要度別に配布]、[パッチ グループ別配布]
• Linux: [不足しているパッチをすべて配布する]、[パッチ グループ別配布]

既定では、セキュリティ上重大な Windows 用のパッチのみが配布されます。 設定により、次のようになります。

• [重要度別に配布] を有効にして構成し、[パッチ グループ別の配布/除外] でいくつかのパッチ グループを [含む] に設定した場合、効果は付加的であり、構成された各オプションのすべてのパッチが配布されます。
• [選択したベンダ/製品] を有効にして構成した場合は、パッチが他の2つのオプションから除外されます。
• [パッチ グループ別の配布/除外] でパッチ グループを [除外] に設定すると、[除外] に設定されたパッチ グループ内のパッチは、別の場所で [含む] に設定されていたとしても、常に除外されます。

例1: あるパッチ グループに含まれているパッチのみを配布する場合:

• [重要度別に配布] および [選択したベンダ/製品] オプションを無効にする
• [パッチ グループ別の配布/除外] オプションを有効にし、目的のパッチ グループを [含む] に設定する

例2: 次のように構成したとします。

• 重要度別に配布: [セキュリティ: 重大] と [セキュリティ: 重要] を選択
• パッチ グループ別の配布/除外: [セキュリティ: 重大] パッチが1つ、[セキュリティ: 重要] パッチが1つ、[セキュリティ: 中] パッチが2つ含まれているパッチ グループを1つ [含む] に設定
• 選択したベンダー/製品: このオプションは無効

この場合、次のようになります。

• すべてのベンダおよび製品について、[セキュリティ: 重大] パッチと [セキュリティ: 重要] パッチが配布されます。
• 2つの [セキュリティ: 中] パッチも含め、このパッチ グループに含まれている4つのパッチすべてが配布されます。

例3: 例2と同じですが、次の設定も行います。

• [選択したベンダ/製品] オプションを使用して、Adobe パッチのみが配布されるように指定します。

この場合、配布される唯一のパッチは次のとおりです。

• [Adobe セキュリティ: 重大] パッチ、[Adobe セキュリティ: 重要] パッチ、およびパッチ グループに含まれるすべての Adobe パッチ

例4: 例3と同じですが、次の設定も行います。

• [パッチ グループ別の配布/除外] オプションを使用して、特定の [Adobe セキュリティ: 重大] パッチを含むパッチ グループを除外します。

この場合、配布される唯一のパッチは次のとおりです。

• [Adobe セキュリティ: 重大] パッチ (除外されたパッチ グループに含まれているものを除く)
• [Adobe セキュリティ: 重要] パッチ
• パッチ グループに含まれるすべての Adobe パッチ

[除外] に設定されているパッチ グループにパッチが追加された場合、たとえそのパッチを配布すべきことが他の設定で明確に推奨されていても、そのパッチは配布されません。

例5 (Windows Edge の場合): 仮に、[重要度別に配布] を [セキュリティ: 重大] のみで構成し、Vantosi V3が含まれるように [パッチ グループ別配布] も構成したとします。

その後 [セキュリティ: 重大] として Vantosi V4がリリースされ、かつ、別のパッチ配布の前に [セキュリティ: 重要] として Vantosi V5がリリースされると、Windows の場合は Vantosi V4も Vantosi V5も配布されません。 これは、最新バージョン (Vantosi V5) が配布対象となる「重要度」要件を満たしておらず、Vantosi V4も Vantosi V5もそのパッチ グループに含まれていないためです。 Mac 用に同じパッチ構成を構成した場合は、Vantosi V4が配布されることになるでしょう。

定期的に [準拠レポート] コンポーネントを使用してデバイスの準拠ステータスを確認し、新しい [セキュリティ: 重大] パッチがあればパッチ グループに追加することをお勧めします。 詳細については、「準拠レポート」と「パッチ グループ」をご参照ください。

配布オプションの選択

• 不足しているパッチをすべて配布する / 選択されているパッチを配布する (Linux のみ): Linux の場合は、[不足しているパッチをすべて配布する] を選択できます。 または、[選択されているパッチを配布する] を選択すると、さらなる制御が可能になり、配布されるパッチを限定できるようになります。

• 重要度別に配布 (Windows および Mac): 有効な場合、配布に含めるパッチのタイプと重要度レベルを指定できます。 既定では、重大なセキュリティ パッチのみが選択されます。
  • セキュリティ パッチ: セキュリティ情報関連のパッチ。 1つ以上の特定の重要度レベルを配布することを選択できます。
    • 重大: 認証されていないリモート攻撃者によって悪用される可能性のある脆弱性、またはオペレーティング システムのゲスト/ホストの分離を破壊する脆弱性。 悪用されると、ユーザが操作を行うことなく、ユーザ データや処理リソースの機密性、完全性、可用性が侵害されます。 脆弱性の悪用がさらに拡大すると、インターネット ワームが拡散したり、仮想マシンとホスト間で任意のコードが実行されたりするおそれがあります。
    • 重要: 悪用された場合に、ユーザ データや処理リソースの機密性、完全性、可用性の侵害につながる脆弱性。 このような不備があると、ローカル ユーザが権限を取得する、認証されたリモート ユーザが任意のコードを実行できる、ローカルまたはリモートのユーザが簡単にサービス妨害攻撃を実行できる、といったことを許します。
    • 中: 構成により、または悪用の困難性により、悪用の可能性がかなりのレベルまで緩和されているものの、特定の配布シナリオにおいては依然としてユーザ データや処理リソースの機密性、完全性、可用性への何らかの侵害につながるおそれのある不備。 このようなタイプの脆弱性は、重大または重要な影響を及ぼす可能性はありますが、不備の技術的な評価に基づく限り、悪用することがそれほど容易ではないか、構成への影響の可能性は低いと見られます。
    • 低: セキュリティに影響を及ぼすその他のすべての問題。 悪用することがきわめて困難であると考えられるか、悪用された場合でも最小限の影響に抑えられる脆弱性。
    • 未割り当て: 重要度レベルがまだ割り当てられていないセキュリティ パッチ。
  • セキュリティ以外のパッチ: セキュリティの問題以外の既知のソフトウェアの不具合を修正するベンダ提供のパッチ。 Windows の場合は、1つ以上の特定のベンダ重要度レベルを配布することを選択できます。 使用可能な重要度レベルについては、「セキュリティ パッチ」をご参照ください。
• パッチ グループ別の配布/除外 (Windows) または パッチ グループ別配布 (Mac および Linux): 有効にすると、配布に含めるパッチが含まれているパッチ グループを1つ以上、または (Windows のみ) 配布から除外するパッチが含まれているパッチ グループを1つ以上指定できます。 これは、許可されたパッチのみが配布されるようにするための良い方法です。 [含む] に設定されたパッチ グループに含まれていない欠落パッチは、[重要度別に配布] オプションで指定された要件を満たしていない限り、配布されません。[除外] に設定されたパッチ グループ内のパッチは、配布されるべきであることが他の設定で明確に推奨されている場合でも、配布されません。使用可能なパッチ グループについての詳細は、[パッチ設定] ページの パッチ グループ タブを使用して表示できます。パッチ グループは Patch Intelligence 内で管理します。

  Linux デバイスは、たとえ前のバージョンパッチ グループに追加されている場合でも、リポジトリで入手可能な最新のパッケージに常に更新されます。 また、パッチ グループ内のアドバイザリに関連付けられているパッケージだけでなく、従属アドバイザリに関連付けられているパッケージもインストールされます。

  [パッチ グループ別配布/除外] を有効にすると、全パッチ グループのグリッドが表示され、オペレーティング システムごとのパッチの数と、パッチ グループごとのパッチの総数が示されます。パッチ グループの横にあるチェック ボックスをオンにして、必要に応じて [含む] または [除外] をクリックします。 パッチ グループの選択を解除するには、[クリア] をクリックします。

  構成されていないオペレーティング システム用のパッチ数の横にある または は、その構成には既にそれらのパッチが含まれている、または除外されていることを示しています。

  グループを選択する前に、そのグループにどのようなパッチが含まれているか迅速に把握できると便利です。 そのためには、グリッド内の数字リンクをクリックして、[パッチ グループ] グリッドの下に対応するパッチを表示します。 オペレーティング システムを判別するには [プラットフォーム] 列を、個々のパッチのステータスを判別するには [ステータス] 列を使用します。

  表示されるステータスは、実際には、現在のパッチ構成でのこのパッチ グループの使用状況に基づく、おおよそのステータスです。 パッチのステータスには、さまざまな要因が影響します。 たとえば、[選択したベンダ/製品] とパッチ グループを使用する場合、1 つ以上のパッチがグループから除外される可能性があります。

  • アクティブ: このパッチ グループは、パッチをエンドユーザのデバイスで利用できるようにするため、この構成で使用されてきました。 デバイスは、このパッチ構成に関連付けられているポリシーの一部です。
  • 非アクティブ: このパッチ ステータスになる理由は2つ考えられます。 (1) このパッチ グループは、パッチを任意のデバイスで利用できるようにするためには使用されていなかった。 (2) このパッチ グループが割り当てられているパッチ構成は、デバイスに対してアクティブにされていなかった。
    [非アクティブ] にリストされているパッチが実際にはアクティである、というシナリオもあります。このパッチが複数のパッチ グループに配置されている場合、他のパッチ グループのいずれかが、デバイスに対してこのパッチをアクティブにする際に使用されていた可能性があります。
• 選択したベンダ/製品(Windows のみ): 無効な場合、すべての使用可能なベンダと製品のパッチが、[重要度別に配布] および [パッチ グループ別配布] オプションで定義された配布に含まれます。 新しい製品やパッチは、利用可能になった時点で配布に追加されます。

有効な場合、エンドポイントに配布できるベンダ、製品ファミリー、製品バージョンを指定できます。 選択されていないベンダと製品は配布から除外されます。 項目は階層リストで表示されます。 あるレベルのチェックボックスを1つ選択すると、その下のレベルのチェックボックスもすべてオンになります。

• すべて選択: このチェックボックスをオンにすると、リスト内のすべてのベンダおよび製品に関して現在利用できるパッチがすべて選択されます。 以降の日付において使用可能になる新しいベンダおよび製品のパッチが配布に追加されます。

除外する項目数が少ない場合は、[すべて選択] を有効にしてから、除外する項目のチェックボックスをオフにできます。

• 個別のベンダと製品を選択する: 選択したベンダ、製品ファミリー、製品バージョンのパッチのみが配布されます。 選択されていないベンダおよび製品は配布から除外されます。
  

再起動動作

この領域では、 配布プロセス中にターゲット デバイスの再起動が要求されるかどうかと、そのタイミングを構成できます。 Ivanti Neurons プラットフォームでは、さまざまな Ivanti Neurons 機能による競合を防ぐため、再起動要求を一元的に処理します。 つまり再起動は、要求されたときに即時には行われない場合があります。

macOS は、オペレーティング システムへのパッチ配布の後には必ず、オペレーティング システムの更新を配布するようにユーザに促した後、再起動します。 Mac 構成の場合は、[更新後に常に再起動する (オペレーティング システムのパッチが適用されなかった場合でも) ] を選択することもできます。

• 配布前に再起動 (Windows のみ): 有効な場合、パッチが配布される前にターゲット デバイスが再起動されることを指定しています。 重要な新しいソフトウェアをインストールする前、特にオペレーティング システムの製品レベルなど大規模なソフトウェア変更を伴う場合には、デバイスを再起動することがベスト プラクティスであると考えられます。 デバイスを再起動することを選択した場合は、ログオン済みのユーザが受け取る警告の量を指定できるとともに、再起動プロセスに対してユーザが行える制御の度合いを選択できます。 次のことを行えます。
  • 数分経過した後に再起動を強制実行する
  • ログオフすると再起動が行われることをユーザに警告する
  • シャットダウン シーケンスが開始されたときにカウントダウン メッセージを表示する期間を選択する。 ユーザに表示されるダイアログ ボックスをプレビューするには、[カウントダウンのサンプル] をクリックします。
  • 指定した最大値までユーザがタイムアウト カウントダウンを延長できるようにする。
  • ユーザがタイムアウトをキャンセルできるようにする。 タイムアウトがキャンセルされると、ユーザがログオフするか手動でデバイスを再起動するまで、パッチは配布されません。
  • ユーザが再起動をキャンセルできるようにする。 デバイスが再起動されるまで、パッチはインストールされません。
• 配布後に再起動 (Windows および Linux): 有効な場合、パッチが配布された後にターゲット デバイスの再起動が要求されるかどうかを指定しています。 次のような2つのオプションがあります。
  • 常に実行: パッチが配布された後に各デバイスが再起動されることを指定します。 ほとんどのパッチは、完了させるためには再起動が必要になるため、これがパッチを配布する際の最も安全なオプションですが、時として必要以上にデバイスが再起動されることもあります。
  • 必要なときに実行: 各デバイスの再起動が必要かどうかを、配布に含まれているパッチに基づいて、Ivanti Neurons エージェントが判別することを指定します。

  Linux の場合に、配布オプション [選択されているパッチを配布する] が選択されていると、選択したパッチ グループ内のアドバイザリに関連付けられているパッケージだけでなく、従属アドバイザリに関連付けられているパッケージもインストールされます。 その後、再起動オプション [必要なときに実行] を設定すると、これらの依存関係により、さらに再起動が引き起こされる可能性があります。

デバイスを再起動することを選択した場合は、さらなるオプションとして、ログオン済みのユーザが受け取る警告の量や、関連付けられたポリシーを用してユーザが再起動プロセスに対して行える制御の度合いなどを指定できます。 詳細については、「エージェント ポリシー: 再起動エクスペリエンス」をご参照ください。

この領域では、周期的なスケジュールで実行される配布を構成できます。

[頻度の設定] タブでは、指定した時刻に、指定した繰り返しパターンを使用して、配布操作が定期的に実行されるようにスケジュールできます。たとえば、毎日午前0時、毎週土曜日の午後9時、平日午後11時など、ユーザが選択した時間と間隔で、配布を実行できます。

• スケジュールが欠落している場合は、再起動時に実行: デバイスの電源がオフになっているためにスケジュールされた配布のタイミングを逸した場合、デバイスの電源が再びオンになってから1時間以内に実行されます。
• パッチの配布: 以下のオプションを使用してパッチ配布をスケジュールできます。
  • 毎日: 毎日、選択した時刻に配布が実行されます。
  • 毎週: 指定した曜日の、選択した時刻に、配布が実行されます。
  • 月単位: 指定日、つまり毎月所定日の指定した時刻に配布が実行されます。 このオプションを使用して、Microsoft の Patch Tuesday と連動させた配布をスケジュールすることもできます。 たとえば、月例パッチ (Patch Tuesday) の翌日に毎月のパッチ配布が行われるようにスケジュールするには、[Patch Tuesday 後にも配布] チェックボックスをオンにし、月例パッチ後の日数として「1」を指定して配布を遅延させます。
    [遅延を追加] オプションを使用すると、月単位のスケジュールに任意の日数を遅延として追加できるため、スケジュール設定の柔軟性が一層高まります。たとえば、組織の変更諮問委員会が毎月第1水曜日にミーティングを開いて、次の土曜日にどのパッチを配布するかを協議している場合、第1水曜日に、3日間の遅延をもって配布することを選択できます。 こうすることにより、その月の第1水曜の後にくる土曜日が第1土曜であっても第2土曜であっても対処できます。
  • Patch Tuesday: Patch Tuesday として知られる Microsoft の月例パッチ イベントと同じ日に配布が実行されるようにスケジュールします。

• 配布前にコンテンツをステージング: 配布パッケージを作成し、実際の配布よりも前に、その配布パッケージをターゲット デバイスにコピーしておくかどうかを指定します。 配布が実行される1～23時間前の間に、コンテンツをステージングできます。 配布前にデバイスのパッチ ステータスを再評価するために、ステージング プロセスの開始時にエージェントによってパッチ スキャンが自動的に実行されます。

  月の最初の日に行われるパッチ配布には例外があります。 うるう年やその他の、類似したカレンダーの得意日に伴う問題を避けるため、月の最初の日よりも前にはコンテンツをステージングできないように、このインターフェイスは作られています。 たとえば、その月の最初の日の午前8:00に配布をスケジュールすると、コンテンツをステージングできるのは配布前1～8時間の間のみです。

• 予定されているタスク: この表には、予定されているタスクの一覧が示されます。 現在選択されている構成を使用してその後60日間にわたって発生することが計画されているすべてのイベントを表示できます。 この表に記載されている情報は推定であり、1つ以上のイベントの発生を妨げるさまざまな事が起こり得ます。

• 組織のIT サポート チームが使用しているすべてのベンダおよび製品向けにパッチ構成を作成することが考えられます。 この構成には、AMER IT サポート、EMEA IT サポート、APAC IT サポートなどの地域のチームをカバーするエージェント ポリシーを関連付けることができます。
• Patch Tuesday にリリースされるパッチ向けにパッチ構成を作成することが考えられます。 この構成には、パッチ配布のテストに使用するパイロット エージェント ポリシーを関連付けることができます。 配布が成功した場合は、より広範な配布を行うためのプライマリ エージェント ポリシーをその構成に関連付けることができます。
• ラップトップ デバイスとワークステーション デバイス用に1つのパッチ構成を作成し、サーバ デバイス用には別のパッチ構成を作成することが考えられます。 それぞれのデバイス タイプを統制する適切なパッチ構成に、エージェント ポリシーを関連付けます。
  

現在のパッチ構成に1つ以上のエージェント ポリシーを関連付けるには:

1. [ポリシーを選択] をクリックします。
2. 必要なエージェント ポリシーを選択します。
   選択に役立つように、利用可能なポリシーに関して次の情報が提供されます。
   • ポリシー: エージェント ポリシーの名前。
   • エンドポイント: 現在そのエージェント ポリシーを使用しているエンドポイントの数が表示されます。
   • 現在のパッチ構成: エージェント ポリシーに現在関連付けられているパッチ構成の名前が示されます。
3. [確認] をクリックします。

パッチ構成に現在関連付けられている全エージェント ポリシーのリストが、[関連付け] ページに表示されます。

表には、構成の全バージョンが表示されます。 既定では、この表には以下の列が含まれていて、[バージョン] 列でソートされています。

• バージョン: バージョンを示す数値。 最初に保存された構成がバージョン1になります。 構成が編集されて保存されるたびに、バージョン値が1つ増えます。 バージョン値をクリックすると、その特定のバージョンの構成についての詳細が開きます。
• 構成名: パッチ構成の名前。
• 保存日: 構成に対する編集が保存された日時。
• 前回の保存者: このバージョンの構成を最後に編集したチーム メンバーの名前。 パッチ構成に関連付けられているパッチ グループを変更すると、 構成に対する改定であると見なされます。

• 可用性: 構成の現在のステータスが表示されます。 入力可能な値は、[新規]、[保留中]、[アクティブ]、[以前にアクティブ]、[ドラフト]、[失敗] です。

• 説明: 構成に対する編集が保存されたときに入力されたコメント。

• 選択したバージョンに戻す: パッチ構成を前のバージョンに戻せます。 アクションを実行した後は、構成の説明を更新し、[保存] をクリックしてください。 戻された後で構成に関連付けられているポリシーが最新のポリシーです。 この元に戻すアクションに、パッチ グループは含まれません。 現在のパッチ構成に含まれているパッチ グループが何であれ、元に戻された後のパッチ構成に含まれることになります。 アーカイブ バージョンに戻すことはできません。

表の内容を CSV ファイルにエクスポートできます。 表のすべての項目をエクスポートするか、選択した項目だけをエクスポートするかを選択できます。

CSV ファイルは、ISO 標準を使用して作成され、ローカルのダウンロード フォルダに保存されます。 Excel を使用してファイルを表示する場合は、データをデバイスのロケールに変換できるので、より人間が判読しやすい形式でデータを表示できます。

構成に適用された並べ替えまたはフィルタリングはエクスポートされた出力に保持されます。 [列の選択] で選択されている項目には関係なく、すべての列が含まれます。

エクスポートする構成の最初の列チェックボックスをオンにします。 あるいは、ヘッダー セルのチェックボックスをオンにして、すべての構成を選択します。

[エクスポート] をクリックして CSV ファイルを作成します。