構成動作

このタブでは、パッチの配布に関連したさまざまなオプションを構成できます。

配布の動作

[配布の動作] を使用すると、パッチをいつ配布するか (スケジュール)、どのパッチを配布するか (配布オプション)、および配布プロセス中にターゲットデバイスの再起動要求を送信するかどうかとそのタイミング (再起動動作) を構成できます。

同じパッチ構成内で、オペレーティングシステムごとに異なる配布動作を構成できます。オペレーティングシステムごとの配布動作は、次のような、オンまたはオフに切り替えることができる1つ以上の配布タスクで構成されます。

定期メンテナンス: 通常、オペレーティングシステムとアプリケーションの標準的な月次パッチ適用に使用され、エンドポイントの再起動が必要になることがよくあります。
優先アップデート (Windows のみ): ブラウザや通信アプリケーションなど、より頻繁に更新がリリースされるアプリケーション向け。再起動が必要になることはほとんどないため、これらの配布をより頻繁にスケジュールすると、ユーザへの影響をほとんど与えずに脆弱性を軽減できます。
ゼロデイレスポンス (Windows のみ): 悪用された脆弱性などに対する緊急対応向け。

これらのタスクを使用すると、異なるタイプのパッチが異なるスケジュールで配布されるように構成することで、パッチ適用のリスクベースの戦略を実装できます。

スキャンのみのパッチ構成を作成するには、すべてのオペレーティングシステムのすべてのタスクの配布トグルをオフにします。パッチエンジンは、インストールされるとすぐにエンドポイントをスキャンし、その後は毎日、ローカルエンドポイント時間の午前0時から午前2時の間にスキャンします。

パッチタスクを有効にするには、そのトグルを有効にした後、[このタスクを構成] をクリックして、タスクの構成パネルを表示します。

スケジュール

この領域では、周期的なスケジュールで実行される配布を構成できます。

[スケジュールを選択] セクションでは、指定した繰り返しパターンを使用して、特定の時間に配布操作を定期的にスケジュールできます。たとえば、毎日午前0時、毎週土曜日の午後9時、平日午後11時など、ユーザが選択した時間と間隔で、配布を実行できます。

スケジュールが欠落している場合は、再起動時に実行: デバイスの電源がオフになっているためにスケジュールされた配布のタイミングを逸した場合、デバイスの電源が再びオンになってから1時間以内に実行されます。
パッチの配布: 以下のオプションを使用してパッチ配布をスケジュールできます。
- 毎日: 毎日、選択した時刻に配布が実行されます。
- 毎週: 指定した曜日の、選択した時刻に、配布が実行されます。
- 月単位: 指定日、つまり毎月所定日の指定した時刻に配布が実行されます。このオプションを使用して、Microsoft の Patch Tuesday と連動させた配布をスケジュールすることもできます。たとえば、月例パッチ (Patch Tuesday) の翌日に毎月のパッチ配布が行われるようにスケジュールするには、[Patch Tuesday 後にも配布] チェックボックスをオンにし、月例パッチ後の日数として「1」を指定して配布を遅延させます。
  [遅延を追加] オプションを使用すると、月単位のスケジュールに任意の日数を遅延として追加できるため、スケジュール設定の柔軟性が一層高まります。たとえば、組織の変更諮問委員会が毎月第1水曜日にミーティングを開いて、次の土曜日にどのパッチを配布するかを協議している場合、第1水曜日に、3日間の遅延をもって配布することを選択できます。こうすることにより、その月の第1水曜の後にくる土曜日が第1土曜であっても第2土曜であっても対処できます。
- Patch Tuesday: Patch Tuesday として知られる Microsoft の月例パッチイベントと同じ日に配布が実行されるようにスケジュールします。

配布前にコンテンツをステージング (Windows および Mac): エンドポイントのパッチエンジンに、配布タスクの前にパッチをダウンロードするように指示します。これは、メンテナンスウィンドウがあるエンドポイントに特に役立ち、メンテナンスウィンドウの期間がダウンロードに無駄にされることがなくなります。配布が実行される1～23時間前の間に、コンテンツをステージングできます。配布前にデバイスのパッチステータスを再評価するために、ステージングプロセスの開始時にエージェントによってパッチスキャンが自動的に実行されます。
月の最初の日に行われるパッチ配布には例外があります。うるう年やその他の、類似したカレンダーの得意日に伴う問題を避けるため、月の最初の日よりも前にはコンテンツをステージングできないように、このインターフェイスは作られています。たとえば、その月の最初の日の午前8:00に配布をスケジュールすると、コンテンツをステージングできるのは配布前1～8時間の間のみです。

配布の対象

利用可能な配布オプションは、オペレーティングシステムによって異なります。

Windows: [リスクスコア別に配布]、[重要度別に配布]、[パッチグループ別の配布/除外]、[有効化パッケージを含める]、および [選択したベンダ/製品]
Mac: [重要度別に配布]、[パッチグループ別配布]
Linux: [不足しているパッチをすべて配布する]、[重要度別に配布]、[パッチグループ別配布]

既定では、セキュリティ上重大な Windows 用のパッチのみが配布されます。設定により、次のようになります。

[重要度別に配布] を有効にして構成し、[パッチグループ別の配布/除外] でいくつかのパッチグループを [含む] に設定した場合、効果は付加的であり、構成された各オプションのすべてのパッチが配布されます。
[選択したベンダ/製品] を有効にして構成した場合は、パッチが他の2つのオプションから除外されます。
[パッチグループ別の配布/除外] でパッチグループを [除外] に設定すると、[除外] に設定されたパッチグループ内のパッチは、別の場所で [含む] に設定されていたとしても、常に除外されます。

例1: あるパッチグループに含まれているパッチのみを配布する場合:

[重要度別に配布] および [選択したベンダ/製品] オプションを無効にする
[パッチグループ別の配布/除外] オプションを有効にし、目的のパッチグループを [含む] に設定する

例2: 次のように構成したとします。

重要度別に配布: [セキュリティ: 重大] と [セキュリティ: 重要] を選択
パッチグループ別の配布/除外: [セキュリティ: 重大] パッチが1つ、[セキュリティ: 重要] パッチが1つ、[セキュリティ: 中] パッチが2つ含まれているパッチグループを1つ [含む] に設定
選択したベンダ/製品: このオプションは無効

この場合、次のようになります。

すべてのベンダおよび製品について、[セキュリティ: 重大] パッチと [セキュリティ: 重要] パッチが配布されます。
2つの [セキュリティ: 中] パッチも含め、このパッチグループに含まれている4つのパッチすべてが配布されます。

例3: 例2と同じですが、次の設定も行います。

[選択したベンダ/製品] オプションを使用して、Adobe パッチのみが配布されるように指定します。

この場合、配布される唯一のパッチは次のとおりです。

[Adobe セキュリティ: 重大] パッチ、[Adobe セキュリティ: 重要] パッチ、およびパッチグループに含まれるすべての Adobe パッチ

例4: 例3と同じですが、次の設定も行います。

[パッチグループ別の配布/除外] オプションを使用して、特定の [Adobe セキュリティ: 重大] パッチを含むパッチグループを除外します。

この場合、配布される唯一のパッチは次のとおりです。

[Adobe セキュリティ: 重大] パッチ (除外されたパッチグループに含まれているものを除く)
[Adobe セキュリティ: 重要] パッチ
パッチグループに含まれるすべての Adobe パッチ

[除外] に設定されているパッチグループにパッチが追加された場合、たとえそのパッチを配布すべきことが他の設定で明確に推奨されていても、そのパッチは配布されません。

例5 (Windows Edge の場合): 仮に、[重要度別に配布] を [セキュリティ: 重大] のみで構成し、Vantosi V3が含まれるように [パッチグループ別配布] も構成したとします。

その後 [セキュリティ: 重大] として Vantosi V4がリリースされ、かつ、別のパッチ配布の前に [セキュリティ: 重要] として Vantosi V5がリリースされると、Windows の場合は Vantosi V4も Vantosi V5も配布されません。これは、最新バージョン (Vantosi V5) が配布対象となる「重要度」の必要条件を満たしておらず、Vantosi V4も Vantosi V5もそのパッチグループに含まれていないためです。 Mac 用に同じパッチ構成を構成した場合は、Vantosi V4が配布されることになるでしょう。

定期的に [準拠レポート] コンポーネントを使用してデバイスの準拠ステータスを確認し、新しい [セキュリティ: 重大] パッチがあればパッチグループに追加することをお勧めします。詳細については、「準拠レポート」と「パッチグループ」をご参照ください。

配布オプションの選択

不足しているパッチをすべて配布する / 選択されているパッチを配布する (Linux のみ): Linux の場合は、[不足しているパッチをすべて配布する] を選択できます。または、[選択されているパッチを配布する] を選択すると、さらなる制御が可能になり、配布されるパッチを選択できるようになります。
リスクスコア別に配布 (Windows のみ): 有効になっている場合、配布に含めるパッチに関連付けられているリスクスコアを指定できます。
- VRR スコア: 構成した値以上の VRR スコアを持つパッチが配布されます。脆弱性リスク評価 (VRR) は、所定の脆弱性によってもたらされるリスクを、0～10の数値スコアとして表しています。
- CVSS スコア: パッチに関連付けられているすべての CVE から得られた CVSS (共通脆弱性スコアリングシステム) スコアの最新バージョンが、構成した値以上であるパッチが配布されます。スコアの範囲は0.1～10です。
- 悪用された脆弱性に対するパッチを配布: 有効になっている場合、悪用されたと報告されている脆弱性に対するパッチが配布されます。

重要度別に配布: 有効になっている場合、配布に含めるパッチのタイプと重要度レベルを指定できます。既定では、重大なセキュリティパッチのみが選択されます。各オペレーティングシステムおよび Linux ディストリビューション用にさまざまなレベルがあります。アイコンは、各レベルをサポートしている Linux ディストリビューションを示しています。
- セキュリティ: セキュリティ情報関連のパッチ。 1つ以上の特定の重要度レベルを配布することを選択できます。
  - 重大: 認証されていないリモート攻撃者によって悪用される可能性のある脆弱性、またはオペレーティングシステムのゲスト/ホストの分離を破壊する脆弱性。悪用されると、ユーザが操作を行うことなく、ユーザデータや処理リソースの機密性、完全性、可用性が侵害されます。脆弱性の悪用がさらに拡大すると、インターネットワームが拡散したり、仮想マシンとホスト間で任意のコードが実行されたりするおそれがあります。
  - 重要: 悪用された場合に、ユーザデータや処理リソースの機密性、完全性、可用性の侵害につながる脆弱性。このような不備があると、ローカルユーザが権限を取得する、認証されたリモートユーザが任意のコードを実行できる、ローカルまたはリモートのユーザが簡単にサービス妨害攻撃を実行できる、といったことを許します。
  - 中: 構成により、または悪用の困難性により、悪用の可能性がかなりのレベルまで緩和されているものの、特定の配布シナリオにおいては依然としてユーザデータや処理リソースの機密性、完全性、可用性への何らかの侵害につながるおそれのある不備。このようなタイプの脆弱性は、重大または重要な影響を及ぼす可能性はありますが、不備の技術的な評価に基づく限り、悪用することがそれほど容易ではないか、構成への影響の可能性は低いと見られます。
  - 低: セキュリティに影響を及ぼすその他のすべての問題。悪用することがきわめて困難であると考えられるか、悪用された場合でも最小限の影響に抑えられる脆弱性。
  - 未割り当て (Windows および Mac): 重要度レベルがまだ割り当てられていないセキュリティパッチ。
- 非セキュリティ (Windows および Mac): セキュリティの問題ではない、既知のソフトウェアの不具合を修正するベンダ提供のパッチ。 Windows の場合は、1つ以上の特定のベンダ重要度レベルを配布することを選択できます。使用可能な重要度レベルについては、「セキュリティパッチ」をご参照ください。
- バグ修正 (Linux のみ): バグを修正するベンダ提供のパッチ。
- 機能拡張 (Linux のみ): 機能拡張を提供するベンダ提供のパッチ。
パッチグループ別の配布/除外 (Windows) またはパッチグループ別配布 (Mac および Linux): 有効にすると、配布に含めるパッチが含まれているパッチグループを1つ以上、または (Windows のみ) 配布から除外するパッチが含まれているパッチグループを1つ以上指定できます。これは、許可されたパッチのみが配布されるようにするための良い方法です。 [含む] に設定されたパッチグループに含まれていない欠落パッチは、[重要度別に配布] オプションで指定された要件を満たしていない限り、配布されません。 [除外] に設定されたパッチグループ内のパッチは、配布されるべきであることが他の設定で明確に推奨されている場合でも、配布されません。使用可能なパッチグループについての詳細は、[パッチ設定] ページのパッチグループタブを使用して表示できます。パッチグループは Patch Intelligence 内で管理します。
Linux デバイスは、たとえ前のバージョンパッチグループに追加されている場合でも、リポジトリで入手可能な最新のパッケージに常に更新されます。また、パッチグループ内のアドバイザリに関連付けられているパッケージだけでなく、従属アドバイザリに関連付けられているパッケージもインストールされます。
[パッチグループ別配布/除外] を有効にすると、全パッチグループのグリッドが表示され、オペレーティングシステムごとのパッチの数と、パッチグループごとのパッチの総数が示されます。パッチグループの横にあるチェックボックスをオンにして、必要に応じて [含む] または [除外] をクリックします。パッチグループの選択を解除するには、[クリア] をクリックします。
構成されていないオペレーティングシステム用のパッチ数の横にあるまたはは、その構成には既にそれらのパッチが含まれている、または除外されていることを示しています。
グループを選択する前に、そのグループにどのようなパッチが含まれているか迅速に把握できると便利です。そのためには、グリッド内の数字リンクをクリックして、[パッチグループ] グリッドの下に対応するパッチを表示します。オペレーティングシステムを判別するには [プラットフォーム] 列を、個々のパッチのステータスを判別するには [ステータス] 列を使用します。
表示されるステータスは、実際には、現在のパッチ構成でのこのパッチグループの使用状況に基づく、おおよそのステータスです。パッチのステータスには、さまざまな要因が影響します。たとえば、[選択したベンダ/製品] とパッチグループを使用する場合、1 つ以上のパッチがグループから除外される可能性があります。
- アクティブ: このパッチグループは、パッチをエンドユーザのデバイスで利用できるようにするため、この構成で使用されてきました。デバイスは、このパッチ構成に関連付けられているポリシーの一部です。
- 非アクティブ: このパッチステータスになる理由は2つ考えられます。 (1) このパッチグループは、パッチを任意のデバイスで利用できるようにするためには使用されていなかった。 (2) このパッチグループが割り当てられているパッチ構成は、デバイスに対してアクティブにされていなかった。
  [非アクティブ] にリストされているパッチが実際にはアクティである、というシナリオもあります。このパッチが複数のパッチグループに配置されている場合、他のパッチグループのいずれかが、デバイスに対してこのパッチをアクティブにする際に使用されていた可能性があります。
有効化パッケージを含める (Windows のみ、[定期メンテナンス] のみ): 有効になっている場合、選択した有効化パッケージが配布されます。有効化パッケージは、あるバージョンの Windows を別のバージョンにアップグレードするための、累積的な更新プログラムの限定的なセットです。置き換えられた項目を表示する、または非表示にするには、[置き換えられたパッケージを表示] を使用します。
選択したベンダ/製品(Windows のみ): 無効な場合、すべての使用可能なベンダと製品のパッチが、[重要度別に配布] および [パッチグループ別配布] オプションで定義された配布に含まれます。新しい製品やパッチは、利用可能になった時点で配布に追加されます。

有効な場合、エンドポイントに配布できるベンダ、製品ファミリー、製品バージョンを指定できます。選択されていないベンダと製品は配布から除外されます。項目は階層リストで表示されます。あるレベルのチェックボックスを1つ選択すると、その下のレベルのチェックボックスもすべてオンになります。

すべて選択: このチェックボックスをオンにすると、リスト内のすべてのベンダおよび製品に関して現在利用できるパッチがすべて選択されます。以降の日付において使用可能になる新しいベンダおよび製品のパッチが配布に追加されます。

除外する項目数が少ない場合は、[すべて選択] を有効にしてから、除外する項目のチェックボックスをオフにできます。

個別のベンダと製品を選択する: 選択したベンダ、製品ファミリー、製品バージョンのパッチのみが配布されます。選択されていないベンダおよび製品は配布から除外されます。

再起動動作

この領域では、配布プロセス中にターゲットデバイスの再起動が要求されるかどうかと、そのタイミングを構成できます。 Ivanti Neurons プラットフォームでは、さまざまな Ivanti Neurons 機能による競合を防ぐため、再起動要求を一元的に処理します。つまり再起動は、要求されたときに即時には行われない場合があります。

macOS は、オペレーティングシステムへのパッチ配布の後には必ず、オペレーティングシステムの更新を配布するようにユーザに促した後、再起動します。 Mac 構成の場合は、[更新後に常に再起動する (オペレーティングシステムのパッチが適用されなかった場合でも) ] を選択することもできます。

配布前に再起動 (Windows のみ): 有効な場合、パッチが配布される前にターゲットデバイスが再起動されることを指定しています。重要な新しいソフトウェアをインストールする前、特にオペレーティングシステムの製品レベルなど大規模なソフトウェア変更を伴う場合には、デバイスを再起動することがベストプラクティスであると考えられます。デバイスを再起動することを選択した場合は、ログオン済みのユーザが受け取る警告の量を指定できるとともに、再起動プロセスに対してユーザが行える制御の度合いを選択できます。次のことを行えます。
- 数分経過した後に再起動を強制実行する
- ログオフすると再起動が行われることをユーザに警告する
- シャットダウンシーケンスが開始されたときにカウントダウンメッセージを表示する期間を選択する。ユーザに表示されるダイアログボックスをプレビューするには、[カウントダウンのサンプル] をクリックします。
- 指定した最大値までユーザがタイムアウトカウントダウンを延長できるようにする。
- ユーザがタイムアウトをキャンセルできるようにする。タイムアウトがキャンセルされると、ユーザがログオフするか手動でデバイスを再起動するまで、パッチは配布されません。
- ユーザが再起動をキャンセルできるようにする。デバイスが再起動されるまで、パッチはインストールされません。
配布後に再起動 (Windows) または必要に応じて配布後に再起動 (Linux): 有効になっている場合は、パッチが配布された後にターゲットデバイスの再起動が要求されるかどうかを指定しています。 Linux では必要な場合にのみ再起動されますが、Windows では次の2つのオプションがあります。
- 常に実行: パッチが配布された後に各デバイスが再起動されることを指定します。ほとんどのパッチは、完了させるためには再起動が必要になるため、これがパッチを配布する際の最も安全なオプションですが、時として必要以上にデバイスが再起動されることもあります。
- 必要なときに実行: 各デバイスの再起動が必要かどうかを、配布に含まれているパッチに基づいて、Ivanti Neurons エージェントが判別することを指定します。

デバイスを再起動することを選択した場合は、さらなるオプションとして、ログオン済みのユーザが受け取る警告の量や、関連付けられたポリシーを用してユーザが再起動プロセスに対して行える制御の度合いなどを指定できます。詳細については、「エージェントポリシー: 再起動エクスペリエンス」をご参照ください。

設定 - Microsoft プレビューパッチ

テストの目的で、Microsoft は正式な Patch Tuesday リリースに先立ち、Windows 用のプレビューパッチセットを提供しています。これらのパッチにはセキュリティ更新が含まれていないため、通常はすべてのデバイスに配布することはなく、そのため、これらのパッチのスキャンは既定で無効になっています。プレビューパッチのスキャンを有効にするには、[Microsoft プレビューパッチのスキャン] を有効にします。

プレビューパッチを配布することを選択した場合は、組織内の限定されたテストグループにのみ配布することをお勧めします。