構成動作
このタブでは、パッチの配布に関連したさまざまなオプションを構成できます。
カスタム パッチ構成オプションの概要 (オペレーティング システムごとのタブ付き) を表示するには、[概要の表示] を選択します。 この概要は、パッチ構成のオプションを追加、削除、変更するたびにリアルタイムで更新されます。
配布の動作
[配布の動作] を使用すると、パッチをいつ配布するか (スケジュール)、どのパッチを配布するか (配布オプション)、および配布プロセス中にターゲット デバイスの再起動要求を送信するかどうかとそのタイミング (再起動動作) を構成できます。
同じパッチ構成内で、オペレーティング システムごとに異なる配布動作を構成できます。 オペレーティング システムごとの配布動作は、次のような、オンまたはオフに切り替えることができる1つ以上の配布タスクで構成されます。
- 定期メンテナンス: 通常、オペレーティング システムとアプリケーションの標準的な月次パッチ適用に使用され、エンドポイントの再起動が必要になることがよくあります。
- 優先アップデート (Windows のみ): ブラウザや通信アプリケーションなど、より頻繁に更新がリリースされるアプリケーション向け。 再起動が必要になることはほとんどないため、これらの配布をより頻繁にスケジュールすると、ユーザへの影響をほとんど与えずに脆弱性を軽減できます。
- ゼロデイ レスポンス (Windows のみ): 悪用された脆弱性などに対する緊急対応向け。
これらのタスクを使用すると、異なるタイプのパッチが異なるスケジュールで配布されるように構成することで、パッチ適用のリスクベースの戦略を実装できます。
スキャンのみのパッチ構成を作成するには、すべてのオペレーティング システムのすべてのタスクの配布トグルをオフにします。 パッチ エンジンは、インストールされるとすぐにエンドポイントをスキャンし、その後は毎日、ローカル エンドポイント時間の午前0時から午前2時の間にスキャンします。
パッチ タスクを有効にするには、そのトグルを有効にした後、[このタスクを構成] をクリックして、タスクの構成パネルを表示します。
スケジュール
この領域では、周期的なスケジュールで実行される配布を構成できます。
[スケジュールを選択] セクションでは、指定した繰り返しパターンを使用して、特定の時間に配布操作を定期的にスケジュールできます。 たとえば、毎日午前0時、毎週土曜日の午後9時、平日午後11時など、ユーザが選択した時間と間隔で、配布を実行できます。
- スケジュールが欠落している場合は、再起動時に実行: デバイスの電源がオフになっているためにスケジュールされた配布のタイミングを逸した場合、デバイスの電源が再びオンになってから1時間以内に実行されます。
- パッチの配布: 以下のオプションを使用してパッチ配布をスケジュールできます。
- 毎日: 毎日、選択した時刻に配布が実行されます。
- 毎週: 指定した曜日の、選択した時刻に、配布が実行されます。
- 月単位: 指定日、つまり毎月所定日の指定した時刻に配布が実行されます。 このオプションを使用して、Microsoft の Patch Tuesday と連動させた配布をスケジュールすることもできます。 たとえば、月例パッチ (Patch Tuesday) の翌日に毎月のパッチ配布が行われるようにスケジュールするには、[Patch Tuesday 後にも配布] チェックボックスをオンにし、月例パッチ後の日数として「1」を指定して配布を遅延させます。
[遅延を追加] オプションを使用すると、月単位のスケジュールに任意の日数を遅延として追加できるため、スケジュール設定の柔軟性が一層高まります。 たとえば、組織の変更諮問委員会が毎月第1水曜日にミーティングを開いて、次の土曜日にどのパッチを配布するかを協議している場合、第1水曜日に、3日間の遅延をもって配布することを選択できます。 こうすることにより、その月の第1水曜の後にくる土曜日が第1土曜であっても第2土曜であっても対処できます。 - Patch Tuesday: Patch Tuesday として知られる Microsoft の月例パッチ イベントと同じ日に配布が実行されるようにスケジュールします。
- 配布前にコンテンツをステージング (Windows および Mac): エンドポイントのパッチ エンジンに、配布タスクの前にパッチをダウンロードするように指示します。 これは、メンテナンス ウィンドウがあるエンドポイントに特に役立ち、メンテナンス ウィンドウの期間がダウンロードに無駄にされることがなくなります。 配布が実行される1~23時間前の間に、コンテンツをステージングできます。 配布前にデバイスのパッチ ステータスを再評価するために、ステージング プロセスの開始時にエージェントによってパッチ スキャンが自動的に実行されます。
月の最初の日に行われるパッチ配布には例外があります。 うるう年やその他の、類似したカレンダーの得意日に伴う問題を避けるため、月の最初の日よりも前にはコンテンツをステージングできないように、このインターフェイスは作られています。 たとえば、その月の最初の日の午前8:00に配布をスケジュールすると、コンテンツをステージングできるのは配布前1~8時間の間のみです。
配布の対象
利用可能な配布オプションは、オペレーティング システムによって異なります。
- Windows: [リスク スコア別に配布]、[重要度別に配布]、[パッチ グループ別の配布/除外]、[有効化パッケージを含める]、および [選択したベンダ/製品]
- Mac: [重要度別に配布]、[パッチ グループ別配布]
- Linux: [不足しているパッチをすべて配布する]、[重要度別に配布]、[パッチ グループ別配布]
既定では、セキュリティ上重大な Windows 用のパッチのみが配布されます。 設定により、次のようになります。
- [重要度別に配布] を有効にして構成し、[パッチ グループ別の配布/除外] でいくつかのパッチ グループを [含む] に設定した場合、効果は付加的であり、構成された各オプションのすべてのパッチが配布されます。
- [選択したベンダ/製品] を有効にして構成した場合は、パッチが他の2つのオプションから除外されます。
- [パッチ グループ別の配布/除外] でパッチ グループを [除外] に設定すると、[除外] に設定されたパッチ グループ内のパッチは、別の場所で [含む] に設定されていたとしても、常に除外されます。
例1: あるパッチ グループに含まれているパッチのみを配布する場合:
- [重要度別に配布] および [選択したベンダ/製品] オプションを無効にする
- [パッチ グループ別の配布/除外] オプションを有効にし、目的のパッチ グループを [含む] に設定する
例2: 次のように構成したとします。
- 重要度別に配布: [セキュリティ: 重大] と [セキュリティ: 重要] を選択
- パッチ グループ別の配布/除外: [セキュリティ: 重大] パッチが1つ、[セキュリティ: 重要] パッチが1つ、[セキュリティ: 中] パッチが2つ含まれているパッチ グループを1つ [含む] に設定
- 選択したベンダ/製品: このオプションは無効
この場合、次のようになります。
- すべてのベンダおよび製品について、[セキュリティ: 重大] パッチと [セキュリティ: 重要] パッチが配布されます。
- 2つの [セキュリティ: 中] パッチも含め、このパッチ グループに含まれている4つのパッチすべてが配布されます。
例3: 例2と同じですが、次の設定も行います。
- [選択したベンダ/製品] オプションを使用して、Adobe パッチのみが配布されるように指定します。
この場合、配布される唯一のパッチは次のとおりです。
- [Adobe セキュリティ: 重大] パッチ、[Adobe セキュリティ: 重要] パッチ、およびパッチ グループに含まれるすべての Adobe パッチ
例4: 例3と同じですが、次の設定も行います。
- [パッチ グループ別の配布/除外] オプションを使用して、特定の [Adobe セキュリティ: 重大] パッチを含むパッチ グループを除外します。
この場合、配布される唯一のパッチは次のとおりです。
- [Adobe セキュリティ: 重大] パッチ (除外されたパッチ グループに含まれているものを除く)
- [Adobe セキュリティ: 重要] パッチ
- パッチ グループに含まれるすべての Adobe パッチ
[除外] に設定されているパッチ グループにパッチが追加された場合、たとえそのパッチを配布すべきことが他の設定で明確に推奨されていても、そのパッチは配布されません。
例5 (Windows Edge の場合): 仮に、[重要度別に配布] を [セキュリティ: 重大] のみで構成し、Vantosi V3が含まれるように [パッチ グループ別配布] も構成したとします。
その後 [セキュリティ: 重大] として Vantosi V4がリリースされ、かつ、別のパッチ配布の前に [セキュリティ: 重要] として Vantosi V5がリリースされると、Windows の場合は Vantosi V4も Vantosi V5も配布されません。 これは、最新バージョン (Vantosi V5) が配布対象となる「重要度」の必要条件を満たしておらず、Vantosi V4も Vantosi V5もそのパッチ グループに含まれていないためです。 Mac 用に同じパッチ構成を構成した場合は、Vantosi V4が配布されることになるでしょう。
定期的に [準拠レポート] コンポーネントを使用してデバイスの準拠ステータスを確認し、新しい [セキュリティ: 重大] パッチがあればパッチ グループに追加することをお勧めします。 詳細については、「準拠レポート」と「パッチ グループ」をご参照ください。
配布オプションの選択
- 不足しているパッチをすべて配布する / 選択されているパッチを配布する (Linux のみ): Linux の場合は、[不足しているパッチをすべて配布する] を選択できます。 または、[選択されているパッチを配布する] を選択すると、さらなる制御が可能になり、配布されるパッチを選択できるようになります。
- リスク スコア別に配布 (Windows のみ): 有効になっている場合、配布に含めるパッチに関連付けられているリスク スコアを指定できます。
- VRR スコア: 構成した値以上の VRR スコアを持つパッチが配布されます。 脆弱性リスク評価 (VRR) は、所定の脆弱性によってもたらされるリスクを、0~10の数値スコアとして表しています。
- CVSS スコア: パッチに関連付けられているすべての CVE から得られた CVSS (共通脆弱性スコアリング システム) スコアの最新バージョンが、構成した値以上であるパッチが配布されます。 スコアの範囲は0.1~10です。
- 悪用された脆弱性に対するパッチを配布: 有効になっている場合、悪用されたと報告されている脆弱性に対するパッチが配布されます。
VRR と CVSS の詳細については、「脅威とリスク」をご参照ください。
- 重要度別に配布: 有効になっている場合、配布に含めるパッチのタイプと重要度レベルを指定できます。 既定では、重大なセキュリティ パッチのみが選択されます。 各オペレーティング システムおよび Linux ディストリビューション用にさまざまなレベルがあります。 アイコンは、各レベルをサポートしている Linux ディストリビューションを示しています。
- セキュリティ: セキュリティ情報関連のパッチ。 1つ以上の特定の重要度レベルを配布することを選択できます。
- 重大: 認証されていないリモート攻撃者によって悪用される可能性のある脆弱性、またはオペレーティング システムのゲスト/ホストの分離を破壊する脆弱性。 悪用されると、ユーザが操作を行うことなく、ユーザ データや処理リソースの機密性、完全性、可用性が侵害されます。 脆弱性の悪用がさらに拡大すると、インターネット ワームが拡散したり、仮想マシンとホスト間で任意のコードが実行されたりするおそれがあります。
- 重要: 悪用された場合に、ユーザ データや処理リソースの機密性、完全性、可用性の侵害につながる脆弱性。 このような不備があると、ローカル ユーザが権限を取得する、認証されたリモート ユーザが任意のコードを実行できる、ローカルまたはリモートのユーザが簡単にサービス妨害攻撃を実行できる、といったことを許します。
- 中: 構成により、または悪用の困難性により、悪用の可能性がかなりのレベルまで緩和されているものの、特定の配布シナリオにおいては依然としてユーザ データや処理リソースの機密性、完全性、可用性への何らかの侵害につながるおそれのある不備。 このようなタイプの脆弱性は、重大または重要な影響を及ぼす可能性はありますが、不備の技術的な評価に基づく限り、悪用することがそれほど容易ではないか、構成への影響の可能性は低いと見られます。
- 低: セキュリティに影響を及ぼすその他のすべての問題。 悪用することがきわめて困難であると考えられるか、悪用された場合でも最小限の影響に抑えられる脆弱性。
- 未割り当て (Windows および Mac): 重要度レベルがまだ割り当てられていないセキュリティ パッチ。
- 非セキュリティ (Windows および Mac): セキュリティの問題ではない、既知のソフトウェアの不具合を修正するベンダ提供のパッチ。 Windows の場合は、1つ以上の特定のベンダ重要度レベルを配布することを選択できます。 使用可能な重要度レベルについては、「セキュリティ パッチ」をご参照ください。
- バグ修正 (Linux のみ): バグを修正するベンダ提供のパッチ。
- 機能拡張 (Linux のみ): 機能拡張を提供するベンダ提供のパッチ。
[機能拡張] は、Oracle v7および Red Hat v7には利用できません。
- セキュリティ: セキュリティ情報関連のパッチ。 1つ以上の特定の重要度レベルを配布することを選択できます。
- パッチ グループ別の配布/除外 (Windows) または パッチ グループ別配布 (Mac および Linux): 有効にすると、配布に含めるパッチが含まれているパッチ グループを1つ以上、または (Windows のみ) 配布から除外するパッチが含まれているパッチ グループを1つ以上指定できます。 これは、許可されたパッチのみが配布されるようにするための良い方法です。 [含む] に設定されたパッチ グループに含まれていない欠落パッチは、[重要度別に配布] オプションで指定された要件を満たしていない限り、配布されません。 [除外] に設定されたパッチ グループ内のパッチは、配布されるべきであることが他の設定で明確に推奨されている場合でも、配布されません。 使用可能なパッチ グループについての詳細は、[パッチ設定] ページの パッチ グループ タブを使用して表示できます。パッチ グループは Patch Intelligence 内で管理します。
Linux デバイスは、たとえ前のバージョンパッチ グループに追加されている場合でも、リポジトリで入手可能な最新のパッケージに常に更新されます。 また、パッチ グループ内のアドバイザリに関連付けられているパッケージだけでなく、従属アドバイザリに関連付けられているパッケージもインストールされます。
[パッチ グループ別配布/除外] を有効にすると、全パッチ グループのグリッドが表示され、オペレーティング システムごとのパッチの数と、パッチ グループごとのパッチの総数が示されます。 パッチ グループの横にあるチェック ボックスをオンにして、必要に応じて [含む] または [除外] をクリックします。 パッチ グループの選択を解除するには、[クリア] をクリックします。
構成されていないオペレーティング システム用のパッチ数の横にある または は、その構成には既にそれらのパッチが含まれている、または除外されていることを示しています。
グループを選択する前に、そのグループにどのようなパッチが含まれているか迅速に把握できると便利です。 そのためには、グリッド内の数字リンクをクリックして、[パッチ グループ] グリッドの下に対応するパッチを表示します。 オペレーティング システムを判別するには [プラットフォーム] 列を、個々のパッチのステータスを判別するには [ステータス] 列を使用します。
表示されるステータスは、実際には、現在のパッチ構成でのこのパッチ グループの使用状況に基づく、おおよそのステータスです。 パッチのステータスには、さまざまな要因が影響します。 たとえば、[選択したベンダ/製品] とパッチ グループを使用する場合、1 つ以上のパッチがグループから除外される可能性があります。
- アクティブ: このパッチ グループは、パッチをエンドユーザのデバイスで利用できるようにするため、この構成で使用されてきました。 デバイスは、このパッチ構成に関連付けられているポリシーの一部です。
- 非アクティブ: このパッチ ステータスになる理由は2つ考えられます。 (1) このパッチ グループは、パッチを任意のデバイスで利用できるようにするためには使用されていなかった。 (2) このパッチ グループが割り当てられているパッチ構成は、デバイスに対してアクティブにされていなかった。
[非アクティブ] にリストされているパッチが実際にはアクティである、というシナリオもあります。 このパッチが複数のパッチ グループに配置されている場合、他のパッチ グループのいずれかが、デバイスに対してこのパッチをアクティブにする際に使用されていた可能性があります。
- 有効化パッケージを含める (Windows のみ、[定期メンテナンス] のみ): 有効になっている場合、選択した有効化パッケージが配布されます。 有効化パッケージは、あるバージョンの Windows を別のバージョンにアップグレードするための、累積的な更新プログラムの限定的なセットです。 置き換えられた項目を表示する、または非表示にするには、[置き換えられたパッケージを表示] を使用します。
- 選択したベンダ/製品(Windows のみ): 無効な場合、すべての使用可能なベンダと製品のパッチが、[重要度別に配布] および [パッチ グループ別配布] オプションで定義された配布に含まれます。 新しい製品やパッチは、利用可能になった時点で配布に追加されます。
- すべて選択: このチェックボックスをオンにすると、リスト内のすべてのベンダおよび製品に関して現在利用できるパッチがすべて選択されます。 以降の日付において使用可能になる新しいベンダおよび製品のパッチが配布に追加されます。
- 個別のベンダと製品を選択する: 選択したベンダ、製品ファミリー、製品バージョンのパッチのみが配布されます。 選択されていないベンダおよび製品は配布から除外されます。
有効な場合、エンドポイントに配布できるベンダ、製品ファミリー、製品バージョンを指定できます。 選択されていないベンダと製品は配布から除外されます。 項目は階層リストで表示されます。 あるレベルのチェックボックスを1つ選択すると、その下のレベルのチェックボックスもすべてオンになります。
除外する項目数が少ない場合は、[すべて選択] を有効にしてから、除外する項目のチェックボックスをオフにできます。
再起動動作
この領域では、 配布プロセス中にターゲット デバイスの再起動が要求されるかどうかと、そのタイミングを構成できます。 Ivanti Neurons プラットフォームでは、さまざまな Ivanti Neurons 機能による競合を防ぐため、再起動要求を一元的に処理します。 つまり再起動は、要求されたときに即時には行われない場合があります。
macOS は、オペレーティング システムへのパッチ配布の後には必ず、オペレーティング システムの更新を配布するようにユーザに促した後、再起動します。 Mac 構成の場合は、[更新後に常に再起動する (オペレーティング システムのパッチが適用されなかった場合でも) ] を選択することもできます。
- 配布前に再起動 (Windows のみ): 有効な場合、パッチが配布される前にターゲット デバイスが再起動されることを指定しています。 重要な新しいソフトウェアをインストールする前、特にオペレーティング システムの製品レベルなど大規模なソフトウェア変更を伴う場合には、デバイスを再起動することがベスト プラクティスであると考えられます。 デバイスを再起動することを選択した場合は、ログオン済みのユーザが受け取る警告の量を指定できるとともに、再起動プロセスに対してユーザが行える制御の度合いを選択できます。 次のことを行えます。
- 数分経過した後に再起動を強制実行する
- ログオフすると再起動が行われることをユーザに警告する
- シャットダウン シーケンスが開始されたときにカウントダウン メッセージを表示する期間を選択する。 ユーザに表示されるダイアログ ボックスをプレビューするには、[カウントダウンのサンプル] をクリックします。
- 指定した最大値までユーザがタイムアウト カウントダウンを延長できるようにする。
- ユーザがタイムアウトをキャンセルできるようにする。 タイムアウトがキャンセルされると、ユーザがログオフするか手動でデバイスを再起動するまで、パッチは配布されません。
- ユーザが再起動をキャンセルできるようにする。 デバイスが再起動されるまで、パッチはインストールされません。
- 配布後に再起動 (Windows) または 必要に応じて配布後に再起動 (Linux): 有効になっている場合は、パッチが配布された後にターゲット デバイスの再起動が要求されるかどうかを指定しています。 Linux では必要な場合にのみ再起動されますが、Windows では次の2つのオプションがあります。
- 常に実行: パッチが配布された後に各デバイスが再起動されることを指定します。 ほとんどのパッチは、完了させるためには再起動が必要になるため、これがパッチを配布する際の最も安全なオプションですが、時として必要以上にデバイスが再起動されることもあります。
- 必要なときに実行: 各デバイスの再起動が必要かどうかを、配布に含まれているパッチに基づいて、Ivanti Neurons エージェントが判別することを指定します。
Windows の場合は [再起動の重要度] を設定できます。 エージェントに送信される再起動要求の優先順位を指定することで、エージェントはエージェント ポリシーの [再起動エクスペリエンス] タブの設定に従って再起動をスケジュールできます。 再起動要求は、ここで設定した値がエージェント ポリシーで設定されている [再起動の最小重要度] と一致しているか、またはそれ以上である場合にのみ尊重されます。 詳細については、「エージェント ポリシー: 再起動エクスペリエンス」をご参照ください。
Linux の場合に、配布オプション [選択されているパッチを配布する] が選択されていると、選択したパッチ グループ内のアドバイザリに関連付けられているパッケージだけでなく、従属アドバイザリに関連付けられているパッケージもインストールされます。 その後、[必要に応じて配布後に再起動] を有効にすると、これらの依存関係により、さらに再起動が引き起こされる可能性があります。
デバイスを再起動することを選択した場合は、さらなるオプションとして、ログオン済みのユーザが受け取る警告の量や、関連付けられたポリシーを用してユーザが再起動プロセスに対して行える制御の度合いなどを指定できます。 詳細については、「エージェント ポリシー: 再起動エクスペリエンス」をご参照ください。
設定 - Microsoft プレビュー パッチ
テストの目的で、Microsoft は正式な Patch Tuesday リリースに先立ち、Windows 用のプレビュー パッチ セットを提供しています。 これらのパッチにはセキュリティ更新が含まれていないため、通常はすべてのデバイスに配布することはなく、そのため、これらのパッチのスキャンは既定で無効になっています。 プレビュー パッチのスキャンを有効にするには、[Microsoft プレビュー パッチのスキャン] を有効にします。
プレビュー パッチを配布することを選択した場合は、組織内の限定されたテスト グループにのみ配布することをお勧めします。