カスタム パッチ構成の作成
独自のカスタム パッチ構成を作成するには、[パッチ設定] ページで、[構成を作成] をクリックします。
- 構成名: この構成に割り当てる名前。
- コメント: この構成の目的を記述するコメントを入力します。
Linux へのパッチ適用のためのコンテンツレスなアプローチ
Ivanti の Linux 向けパッチ適用ソリューションは、Windows や Mac で使用されるものとは異なります。Linux へのパッチ適用のためのコンテンツレスなアプローチにおける違いを理解することが重要です。このアプローチにより、Ivanti 製品にパッチ データが表示されるタイミングに違いが生じるためです。
Windows および Mac の場合、パッチ コンテンツ データは、使用のために製品にリリースされる前に、Ivanti によってキュレートされテストされます。このプロセスの詳細については、Ivanti コミュニティ (別のウィンドウで開きます) をご参照ください。これらのオペレーティング システムでは、さまざまなソースからソフトウェアをインストールできるため、このアプローチが必要です。
Linux には異なるアプローチがあり、インストールされたソフトウェアの配布と維持管理は、配布専用リポジトリに接続されたパッケージ マネージャを使用して制御されます。Ivanti のパッチ適用製品は、デバイスのリポジトリ ソースを使用して、パッチ スキャン中に必要なパッチ コンテンツを追加します。これがコンテンツレス アプローチであり、製品の柔軟性を高めることができます。これにより、Ivanti が独自のパッチ コンテンツを更新することなく、お客様はサード パーティや内部のリポジトリを使用できるようになります。さらに、更新がリポジトリから入手可能になるとすぐに、Ivanti からのパッチ コンテンツ更新を必要とせずにインストールできるようになります。最初は、デバイスがスキャンされ、そのデバイス用のデータがアップロードされて処理されるまで、Linux パッチ データは Neurons に表示されません。より多くのデバイスがスキャンされるにつれ、追加のデータが結合されて、より完全な全体像が得られます。
[構成動作] タブ
このタブでは、パッチの配布に関連したさまざまなオプションを構成できます。
ヒント: カスタム パッチ構成オプションの概要 (オペレーティング システムごとにタブ付き) を表示するには、[概要の表示] を選択します。 この概要は、パッチ構成のオプションを追加、削除、変更するたびにリアルタイムで更新されます。
この領域では、どのようなパッチを配布するか (配布オプション) 、配布プロセス中にターゲット コンピュータの再起動要求を送信するかどうかとそのタイミング (再起動動作) を構成できます。同じパッチ構成内で、オペレーティング システムごとに異なる配布動作を構成できます。
オペレーティング システムごとの配布の有効化
オペレーティング システムごとに個別にパッチ配布の有効化と無効化を行えます。 [配布の動作] で、目的のオペレーティング システムを選択した後、必要に応じて [パッチの配布] を設定します。
スキャンのみのパッチ構成を作成するには、すべてのオペレーティング システム タブの配布トグルをオフにします。
配布オプション
構成可能な配布オプションは、オペレーティング システムによって最大3つあります。
- Windows: [重要度別に配布]、[パッチ グループ別の配布/除外]、および [選択したベンダー/製品]
- Mac: [重要度別に配布]、[パッチ グループ別配布]
- Linux: すべてパッチを適用する
既定では、セキュリティ上重大な Windows 用のパッチのみが配布されます。[重要度別に配布] を有効にして構成し、[パッチ グループ別の配布/除外] でいくつかのパッチ グループを [含む] に設定した場合、両方が有効になり、構成された各オプションのすべてのパッチが配布されます。[選択したベンダ/製品] を有効にして構成した場合は、パッチが他の2つのオプションから除外されます。[パッチ グループ別の配布/除外] でパッチ グループを [除外] に設定すると、[除外] に設定されたパッチ グループ内のパッチは、別の場所で [含む] に設定されていたとしても、常に除外されます。
例1: あるパッチ グループに含まれているパッチのみを配布する場合:
- [重要度別に配布] および [選択したベンダ/製品] オプションを無効にする
- [パッチ グループ別の配布/除外] オプションを有効にし、目的のパッチ グループを [含む] に設定する
例2: 次のように構成したとします。
- 重要度別に配布: [セキュリティ: 重大] と [セキュリティ: 重要] を選択
- パッチ グループ別の配布/除外: [セキュリティ: 重大] パッチが1つ、[セキュリティ: 重要] パッチが1つ、[セキュリティ: 中] パッチが2つ含まれているパッチ グループを1つ [含む] に設定
- 選択したベンダー/製品: このオプションは無効
この場合、すべてのベンダおよび製品について、[セキュリティ: 重大] パッチと [セキュリティ: 重要] パッチが配布されます。 また、2つの [セキュリティ: 中] パッチも含め、このパッチ グループに含まれている4つのパッチすべてが配布されます。
例3: 例2と同様ですが、[選択したベンダ/製品] オプションも使用して、Adobe パッチのみが配布されるように指定します。この場合、配布されるパッチは、パッチ グループに含まれる [Adobe セキュリティ: 重大] パッチ、[Adobe セキュリティ: 重要] パッチ、およびすべての Adobe パッチになります。
例4: 例3と同じですが、[パッチ グループ別の配布/除外] オプションを使用して、特定の [Adobe セキュリティ: 重大] パッチを含むパッチ グループを除外します。この場合、配布されるパッチは、パッチ グループに含まれる [Adobe セキュリティ: 重大] パッチ ([除外されたパッチ グループ] 内のパッチを除く)、[Adobe セキュリティ: 重要] パッチ、およびすべての Adobe パッチになります。
[除外] に設定されているパッチ グループにパッチが追加された場合、たとえそのパッチを配布すべきことが他の設定で明確に推奨されていても、そのパッチは配布されません。
例5 (Windows Edge の場合): 仮に、[重要度別に配布] を [セキュリティ: 重大] のみで構成し、Vantosi V3が含まれるように [パッチ グループ別配布] も構成したとします。
その後 [セキュリティ: 重大] として Vantosi V4がリリースされ、かつ、別のパッチ配布の前に [セキュリティ: 重要] として Vantosi V5がリリースされると、Windows の場合は Vantosi V4も Vantosi V5も配布されません。 これは、最新バージョン (Vantosi V5) が配布対象となる「重要度」要件を満たしておらず、Vantosi V4も Vantosi V5もそのパッチ グループに含まれていないためです。Mac 用に同じパッチ構成を構成した場合は、Vantosi V4が配布されることになるでしょう。
定期的に [準拠レポート] コンポーネントを使用してデバイスの準拠ステータスを確認し、新しい [セキュリティ: 重大] パッチがあればパッチ グループに追加することをお勧めします。 詳細については、「準拠レポート」と「パッチ グループ」をご参照ください。
配布オプションの選択
- 重要度別に配布 (Windows および Mac): 有効な場合、配布に含めるパッチのタイプと重要度レベルを指定できます。既定では、重大なセキュリティ パッチのみが選択されます。
- セキュリティ パッチ: セキュリティ情報関連のパッチ。 1つ以上の特定の重要度レベルを配布することを選択できます。
- 重大: 認証されていないリモート攻撃者によって悪用される可能性のある脆弱性、またはオペレーティング システムのゲスト/ホストの分離を破壊する脆弱性。 悪用されると、ユーザが操作を行うことなく、ユーザ データや処理リソースの機密性、完全性、可用性が侵害されます。 脆弱性の悪用がさらに拡大すると、インターネット ワームが拡散したり、仮想マシンとホスト間で任意のコードが実行されたりするおそれがあります。
- 重要: 悪用された場合に、ユーザ データや処理リソースの機密性、完全性、可用性の侵害につながる脆弱性。 このような不備があると、ローカル ユーザが権限を取得する、認証されたリモート ユーザが任意のコードを実行できる、ローカルまたはリモートのユーザが簡単にサービス妨害攻撃を実行できる、といったことを許します。
- 中: 構成により、または悪用の困難性により、悪用の可能性がかなりのレベルまで緩和されているものの、特定の配布シナリオにおいては依然としてユーザ データや処理リソースの機密性、完全性、可用性への何らかの侵害につながるおそれのある不備。 このようなタイプの脆弱性は、重大または重要な影響を及ぼす可能性はありますが、不備の技術的な評価に基づく限り、悪用することがそれほど容易ではないか、構成への影響の可能性は低いと見られます。
- 低: セキュリティに影響を及ぼすその他のすべての問題。 悪用することがきわめて困難であると考えられるか、悪用された場合でも最小限の影響に抑えられる脆弱性。
- 未割り当て: 重要度レベルがまだ割り当てられていないセキュリティ パッチ。
- セキュリティ以外のパッチ: セキュリティの問題以外の既知のソフトウェアの不具合を修正するベンダ提供のパッチ。 Windows の場合は、1つ以上の特定のベンダ重要度レベルを配布することを選択できます。 使用可能な重要度レベルについては、「セキュリティ パッチ」をご参照ください。
- セキュリティ パッチ: セキュリティ情報関連のパッチ。 1つ以上の特定の重要度レベルを配布することを選択できます。
- パッチ グループ別の配布/除外 (Windows) または パッチ グループ別配布 (Mac): 有効にすると、配布に含めるパッチが含まれているパッチ グループを1つ以上、または (Windows のみ) 配布から除外するパッチが含まれているパッチ グループを1つ以上指定できます。これは、許可されたパッチのみが配布されるようにするための良い方法です。 [含む] に設定されたパッチ グループに含まれていない欠落パッチは、[重要度別に配布] オプションで指定された要件を満たしていない限り、配布されません。[除外] に設定されたパッチ グループ内のパッチは、配布されるべきであることが他の設定で明確に推奨されている場合でも、配布されません。使用可能なパッチ グループについての詳細は、[パッチ設定] ページの パッチ グループ タブを使用して表示できます。パッチ グループは Patch Intelligence 内で管理します。
[パッチ グループ別配布/除外] を有効にすると、全パッチ グループのグリッドが表示され、オペレーティング システムごとのパッチの数と、パッチ グループごとのパッチの総数が示されます。パッチ グループの横にあるチェック ボックスをオンにして、必要に応じて [含む] または [除外] をクリックします。パッチ グループの選択を解除するには、[クリア] をクリックします。
構成されていないオペレーティング システム用のパッチ数の横にある または は、その構成には既にそれらのパッチが含まれている、または除外されていることを示しています。
グループを選択する前に、そのグループにどのようなパッチが含まれているか迅速に把握できると便利です。 そのためには、グリッド内の数字リンクをクリックして、[パッチ グループ] グリッドの下に対応するパッチを表示します。 オペレーティング システムを判別するには [プラットフォーム] 列を、個々のパッチのステータスを判別するには [ステータス] 列を使用します。
表示されるステータスは、実際には、現在のパッチ構成でのこのパッチ グループの使用状況に基づく、おおよそのステータスです。 パッチのステータスには、さまざまな要因が影響します。 たとえば、[選択したベンダ/製品] とパッチ グループを使用する場合、1 つ以上のパッチがグループから除外される可能性があります。
- アクティブ: このパッチ グループは、パッチをエンドユーザのデバイスで利用できるようにするため、この構成で使用されてきました。 デバイスは、このパッチ構成に関連付けられているポリシー グループの一部です。
- 非アクティブ: このパッチ ステータスになる理由は2つ考えられます。 (1) このパッチ グループは、パッチを任意のデバイスで利用できるようにするためには使用されていなかった。 (2) このパッチ グループが割り当てられているパッチ構成は、デバイスに対してアクティブにされていなかった。
[非アクティブ] にリストされているパッチが実際にはアクティである、というシナリオもあります。このパッチが複数のパッチ グループに配置されている場合、他のパッチ グループのいずれかが、デバイスに対してこのパッチをアクティブにする際に使用されていた可能性があります。
- 選択したベンダ/製品(Windows のみ): 無効な場合、すべての使用可能なベンダと製品のパッチが、[重要度別に配布] および [パッチ グループ別配布] オプションで定義された配布に含まれます。 新しい製品やパッチは、利用可能になった時点で配布に追加されます。
- すべて選択: このチェックボックスをオンにすると、リスト内のすべてのベンダおよび製品に関して現在利用できるパッチがすべて選択されます。以降の日付において使用可能になる新しいベンダおよび製品のパッチが配布に追加されます。
- 個別のベンダと製品を選択する: 選択したベンダ、製品ファミリー、製品バージョンのパッチのみが配布されます。 選択されていないベンダおよび製品は配布から除外されます。
有効な場合、エンドポイントに配布できるベンダ、製品ファミリー、製品バージョンを指定できます。 選択されていないベンダと製品は配布から除外されます。 項目は階層リストで表示されます。 あるレベルのチェックボックスを1つ選択すると、その下のレベルのチェックボックスもすべてオンになります。
ヒント: 除外する項目数が少ない場合は、[すべて選択] を有効にしてから、除外する項目のチェックボックスをオフにできます。
再起動動作
この領域では、配布プロセス中にターゲット コンピュータがいつ、どのような場合に再起動されるかを構成できます。 Ivanti Neurons プラットフォームでは、さまざまな Ivanti Neurons 機能による競合を防ぐため、再起動要求を一元的に処理します。つまり再起動は、要求されたときに即時には行われない場合があります。
macOS は、オペレーティング システムへのパッチ配布の後には必ず、オペレーティング システムの更新を配布するようにユーザに促した後、再起動します。 Mac 構成の場合は、[更新後に常に再起動する (オペレーティング システムのパッチが適用されなかった場合でも) ] を選択することもできます。
- 配布前に再起動 (Windows のみ): 有効な場合、パッチが配布される前にターゲット コンピュータが再起動されることを指定しています。重要な新しいソフトウェアをインストールする前、特にオペレーティング システムの製品レベルなど大規模なソフトウェア変更を伴う場合には、コンピュータを再起動することがベスト プラクティスであると考えられます。 コンピュータを再起動することを選択した場合は、ログオン済みのユーザが受け取る警告の量を指定し、再起動プロセスに対してユーザが行える制御の度合いを選択できます。 次のことを行えます。
- 数分経過した後に再起動を強制実行する
- ログオフすると再起動が行われることをユーザに警告する
- シャットダウン シーケンスが開始されたときにカウントダウン メッセージを表示する期間を選択する。 ユーザに表示されるダイアログ ボックスをプレビューするには、[カウントダウンのサンプル] をクリックします。
- 指定した最大値までユーザがタイムアウト カウントダウンを延長できるようにする。
- ユーザがタイムアウトをキャンセルできるようにする。 タイムアウトがキャンセルされると、ユーザがログオフするか手動でコンピュータを再起動するまで、パッチは配布されません。
- ユーザが再起動をキャンセルできるようにする。 コンピュータが再起動されるまで、パッチはインストールされません。
- 配布後に再起動 (Windows および Linux): 有効な場合、パッチが配布された後にターゲット コンピュータの再起動が要求されるかどうかを指定しています。次のような2つのオプションがあります。
- 常に実行: パッチが配布された後に各コンピュータが再起動されることを指定します。ほとんどのパッチは、完了させるためには再起動が必要になるため、これがパッチを配布する際の最も安全なオプションですが、時として必要以上にコンピュータが再起動されることもあります。
- 必要なときに実行: 各コンピュータの再起動が必要かどうかを、配布に含まれているパッチに基づいて、Ivanti Neurons エージェントが判別することを指定します。
コンピュータを再起動することを選択した場合は、ログオン済みのユーザが受け取る警告の量や、ユーザが再起動プロセスに対して、関連付けられたポリシー グループを使用して行える制御の度合いなど、さらなるオプションを指定できます。詳細については、「ポリシー グループ詳細」をご参照ください。
この領域では、周期的なスケジュールで実行される配布を構成できます。
[頻度の設定] タブでは、指定した時刻に、指定した繰り返しパターンを使用して、配布操作が定期的に実行されるようにスケジュールできます。たとえば、毎日午前0時、毎週土曜日の午後9時、平日午後11時など、ユーザが選択した時間と間隔で、配布を実行できます。
- スケジュールがない場合は再起動時に実行: コンピュータの電源がオフになっているためにスケジュールされた配布のタイミングを逸した場合、コンピュータの電源が再びオンになってから1時間以内に実行されます。
- パッチの配布: 以下のオプションを使用してパッチ配布をスケジュールできます。
- 毎日: 毎日、選択した時刻に配布が実行されます。
- 毎週: 指定した曜日の、選択した時刻に、配布が実行されます。
- 月単位: 指定日、つまり毎月所定日の指定した時刻に配布が実行されます。このオプションを使用して、Microsoft の Patch Tuesday と連動させた配布をスケジュールすることもできます。 たとえば、月例パッチ (Patch Tuesday) の翌日に毎月のパッチ配布が行われるようにスケジュールするには、[Patch Tuesday 後にも配布] チェックボックスをオンにし、月例パッチ後の日数として「1」を指定して配布を遅延させます。
[遅延を追加] オプションを使用すると、月単位のスケジュールに任意の日数を遅延として追加できるため、スケジュール設定の柔軟性が一層高まります。たとえば、組織の変更諮問委員会が毎月第1水曜日にミーティングを開いて、次の土曜日にどのパッチを配布するかを協議している場合、第1水曜日に、3日間の遅延をもって配布することを選択できます。こうすることにより、その月の第1水曜の後にくる土曜日が第1土曜であっても第2土曜であっても対処できます。 - Patch Tuesday: Patch Tuesday として知られる Microsoft の月例パッチ イベントと同じ日に配布が実行されるようにスケジュールします。
- 配布前にコンテンツをステージング: 配布パッケージを作成し、実際の配布よりも前に、その配布パッケージをターゲット コンピュータにコピーしておくかどうかを指定します。 配布が実行される1~23時間前の間に、コンテンツをステージングできます。 配布前にコンピュータのパッチ ステータスを再評価するために、ステージング プロセスの開始時にエージェントによってパッチ スキャンが自動的に実行されます。
月の最初の日に行われるパッチ配布には例外があります。 うるう年やその他の、類似したカレンダーの得意日に伴う問題を避けるため、月の最初の日よりも前にはコンテンツをステージングできないように、このインターフェイスは作られています。たとえば、その月の最初の日の午前8:00に配布をスケジュールすると、コンテンツをステージングできるのは配布前1~8時間の間のみです。
- 予定されているタスク: この表には、予定されているタスクの一覧が示されます。 現在選択されている構成を使用してその後60日間にわたって発生することが計画されているすべてのイベントを表示できます。 この表に記載されている情報は推定であり、1つ以上のイベントの発生を妨げるさまざまな事が起こり得ます。
[関連付け] タブ
このタブでは、パッチ構成に1つ以上のエージェント ポリシー グループを関連付けることができます。 パッチ構成とポリシー グループの関連付けにより、その構成が配布されるエンドポイントが定義されます。 特定のポリシーを使用するデバイスはすべて、そのポリシーに関連付けられたパッチ構成によって統制されます。
重要! パッチ構成を利用するためには、エージェント ポリシー グループのパッチ管理機能が有効になっている必要があります。
1つのパッチ構成に複数のエージェント ポリシー グループを関連付けることができます。
- 組織のIT サポート チームが使用しているすべてのベンダおよび製品向けにパッチ構成を作成することが考えられます。 この構成には、AMER IT サポート、EMEA IT サポート、APAC IT サポートなどの地域のチームをカバーするエージェント ポリシー グループを関連付けることができます。
- Patch Tuesday にリリースされるパッチ向けにパッチ構成を作成することが考えられます。 この構成には、パッチ配布のテストに使用するパイロット エージェント ポリシー グループを関連付けることができます。 配布が成功した後で、より広範な配布を行うためのプライマリ エージェント ポリシー グループをその構成に関連付けることができます。
- ラップトップ デバイスとワークステーション デバイス用に1つのパッチ構成を作成し、サーバ デバイス用には別のパッチ構成を作成することが考えられます。 それぞれのデバイス タイプを統制する適切なパッチ構成に、エージェント ポリシー グループを関連付けます。
現在のパッチ構成に1つ以上のエージェント ポリシー グループを関連付けるには:
- [ポリシー グループを選択] をクリックします。
- 必要なエージェント ポリシー グループを選択します。
選択に役立つように、利用可能なポリシー グループに関して次の情報が提供されます。- ポリシー グループ: エージェント ポリシー グループの名前。
- エンドポイント: 現在そのエージェント ポリシー グループを使用しているエンドポイントの数が表示されます。
- 現在のパッチ構成: エージェント ポリシー グループに現在関連付けられているパッチ構成の名前が示されます。
- [確認] をクリックします。
パッチ構成に現在関連付けられている全エージェント ポリシー グループのリストは、 [関連付け]ページに表示されます。
[履歴] タブ
このタブでは、パッチ構成に対してなされた変更を追跡できます。
表には、構成の全バージョンが表示されます。 既定では、この表には以下の列が含まれていて、[バージョン] 列でソートされています。
- バージョン: バージョンを示す数値。 最初に保存された構成がバージョン1になります。 構成が編集されて保存されるたびに、バージョン値が1つ増えます。 バージョン値をクリックすると、その特定のバージョンの構成についての詳細が開きます。
- 構成名: パッチ構成の名前。
- 保存日: 構成に対する編集が保存された日時。
- 前回の保存者: このバージョンの構成を最後に編集したチーム メンバーの名前。 パッチ構成に関連付けられているパッチ グループを変更すると、 構成に対する改定であると見なされます。
-
可用性: 構成の現在のステータスが表示されます。 入力可能な値は、[新規]、[保留中]、[アクティブ]、[以前にアクティブ]、[ドラフト]、[失敗] です。
- 説明: 構成に対する編集が保存されたときに入力されたコメント。
- 選択したバージョンに戻す: パッチ構成を前のバージョンに戻せます。 アクションを実行した後は、構成の説明を更新し、[保存] をクリックしてください。 この元に戻すアクションに、パッチ グループは含まれません。 現在のパッチ構成に含まれているパッチ グループはどれも、元に戻された後のパッチ構成に含まれることになります。
表の内容を CSV ファイルにエクスポートできます。 すべての項目を表にエクスポートすることも、選択した項目だけをエクスポートすることも選択できます。
CSV ファイルは、ISO 標準を使用して作成され、ローカルのダウンロード フォルダに保存されます。 Excel を使用してファイルを表示すると、データをコンピュータのロケールに変換できるので、より人間が判読しやすい形式でデータを表示できます。
構成に適用された並べ替えまたはフィルタリングはエクスポートされた出力に保持されます。 [列の選択] で選択されている項目には関係なく、すべての列が含まれます。
エクスポートする構成の最初の列チェックボックスをオンにします。 あるいは、ヘッダー セルのチェックボックスをオンにして、すべての構成を選択します。
[エクスポート] をクリックして CSV ファイルを作成します。
カスタム パッチ構成の保存とアクティブ化
3つの [パッチ構成] タブには、次のボタンがあります。
- 保存してアクティブにする: パッチ構成を保存し、関連付けられているポリシー グループに割り当てられているデバイスに対してアクティブにします。 各デバイスは、次回そのデバイスのエージェントが Ivanti Neurons にチェックインした際に、新しい構成を受け取ります。
- 保存: ページを閉じずにパッチ構成を保存します。これにより、そのまま作業を続けることができます。
- 変更を元に戻す: すべての変更を取り消し、パッチ構成を前に保存したときの状態に戻します。
- 閉じる: パッチ構成に対する最新の変更を保存せずにページを閉じます。