エージェントレス環境におけるパッチ管理の自動化

いかなる IT グループもその目標は、プロセスを一元化し、自動化して、企業環境の維持管理に必要な作業量を削減することにあります。 Ivanti の目標は、お客様がこのレベルの自動化を達成する助けとなるツールおよびソリューションを提供することです。 このセクションでは、パッチ管理プロセスの自動化に役立つ方法について説明します。

コンピュータ検出の自動化

パッチ プロセス自動化のための最初の目標は、できるだけ動的にコンピュータ グループを作成することです。 これを達成するための最も簡単な方法は、Active Directory を使用することです。 コンピュータへのパッチ適用を管理する場合と同じように環境内のコンピュータをグループ化すれば、コンピュータ グループの OU 領域を使用できます。 コンピュータ グループは、使用されるたびに Active Directory と「会話」し、最新のコンピュータ リストを OU から取り出します。 ドメイン領域を使用しても同じことが言えますが、自動化プロセスという観点では、包含されるものが広すぎる可能性があります。 動的グループを簡単に作成するためのもうひとつの方法は、IP 範囲を使用することです。 IP 範囲に含まれる新規コンピュータはすべて、新規スキャンを実行するたびにキャプチャされます。

スキャン テンプレート

自動化について話し始めるときは、何をプッシュするのかを検討する必要があります。 大半の企業では、パッチに関する承認プロセスが、非常に大まかに定義されています。 ニーズに応じて、どうすれば企業の状況に最も役立つかを決定する必要があります。 製品に関係なく、すべてのセキュリティ パッチを対象とするなら、製品に組み込まれている定義済みのセキュリティ パッチ スキャン テンプレートを使用できます。 新規リリースの XML データ ファイルであれば、次回使用時に、このスキャン テンプレートのセキュリティ パッチが自動的に組み込まれます。

これはエンドユーザ環境には十分である可能性がありますが、サーバへのパッチ適用を自動化するためには、パッチ グループの使用を検討することも必要です。 パッチ グループまたは承認されたパッチ リストを使用すると、スキャンの対象となる特定のパッチのリストを定義できます。 これをスキャン テンプレートに紐づけてから、自動配布によるスキャンをスケジュールすることで、パッチ プロセスを最初から最後まで自動化します。 新規パッチがリリースされた時点で、環境でどのパッチの配布を承認するか評価して決定し、パッチ グループまたは許可されたパッチのリストを、新規パッチで更新できます。 スケジュールされたスキャンは、不足しているパッチをスキャンしてパッチ リストから配布することにより、これらの変更に対応します。

次の画面ショットに、スキャン テンプレートの [フィルタリング] タブが示されています。 [ベースライン] または [例外] というフィルタを使用すると、承認されたパッチ リスト、またはパッチのベースライン セットを集合的に表すパッチ グループを1つ以上指定できます。次のセクションで、パッチ グループまたはパッチ リストの作成方法を説明します。

パッチ グループ

Security Controls でパッチ グループを使用して選択したパッチをスキャンした場合、すべての製品レベルのステータスがスキャンされて、レポートが作成されます。パッチの置換も無効になるため、新しいパッチと交換済みの古いパッチが欠落と表示されることになります。

新規パッチ グループを作成するには、メイン メニューで [新規] > [Windows パッチ] > [パッチ グループ] の順に選択します。 これにより [パッチ ビュー] ダイアログが表示されます。 既存のパッチ グループがすべて、下部ウィンドウに表示されます。 [パッチ ビュー] フィルタを使用して、上部ウィンドウに表示されるパッチのリストを絞り込みます。 次に、目的のパッチ (複数可) を右クリックし、[パッチ グループに追加] を選択して、パッチ グループ名を選択します。 そのパッチ グループが自動的に保存されます。

ベンダのすべての最新緊急セキュリティ パッチを特定するスマート フィルタを作成することもできます。これからは、パッチ リリースのたびにスマート フィルタを使用し、フィルタリングされたビューからすべてを選択して既存のパッチ グループに追加するだけです。 維持管理にかかる時間がほんの数分ですむ、簡単に繰り返せるプロセスができあがります。

パッチ スキャン テンプレートの [ベースライン] 領域または [例外] 領域で、[参照] ボタンをクリックして、使用するパッチ グループを選択します。 これで特定のパッチ リストをスキャンするようにスキャン テンプレートが構成されました。

承認されたパッチ リストを使用する場合は、必要なことは、テキスト ファイルを作成して、1行に1パッチずつ KB 番号でパッチを入力することだけです。 スキャン テンプレートの [ベースライン] 領域または [例外] 領域で、[ファイル] ボックスの [参照] ボタンをクリックして、作成したテキスト ファイルに移動します。 このファイルを複数のコンソールに簡単に配布できますので、使いやすく、複数のコンソールにまたがったパッチ承認も簡素化されます。

承認済みパッチ リストの例:

Q123456

Q234567

Q345678

配布テンプレート

配布テンプレート内に、自動化しようとするグループのニーズに合った再起動オプションを構成することも必要になります。対象がエンドユーザ環境の場合は、残業がちな社員への対応として、再起動オプションをより柔軟なものに設定することもできます。 たとえば、[配布後の再起動] タブの [再起動をスケジュール] 領域で、[次回の指定時刻時] を指定します。 [タイムアウトを延期する] チェック ボックスを有効にすることもできます。

サーバ環境の場合は、推奨される再起動オプションは明白ではありません。

  • インストール直後に再起動が実行されるように構成することも推奨されます。 理由通常は、メンテナンス期間内にスキャンや配布を実行することになり、直後に再起動が必要になります。 再起動時のタイムアウトを短縮してプロセスのスピードアップを図ることもできます。 対象のコンピュータを使用するユーザは誰でも、事前にメンテナンス期間を把握しているはずだからです。
  • その一方で、通常は再起動が要求されるものの、[配布後に再起動しない] を選択する場合があります。これは、ビジネスにとってサーバの可用性が極めて重大だという状況下では、理にかなっています。 再起動プロセス中に何かしら問題が発生することが見込まれる場合は、常に自分が制御権を持っていられるように、サーバを手動で再起動するのが得策です。 .

自動処理のスケジュール

この最終段階で、すべてがひとつにまとまります。 グループとテンプレートの構成が完了した後は、ジョブが定期的に実行されるようにスケジュールすることが求められます。 ジョブが自動的に実行されるようにするには、ホーム ページを使用するか、コンピュータ グループを使用するかのいずれかです。 コンピュータ グループから開始する場合は、[処理の実行] をクリックします。 :次のようなダイアログが表示されます。

このダイアログで、今すぐジョブを実行することも、特定の日時に一度だけ実行されるようにスケジュールすることも、繰り返しジョブが実行されるようにスケジュールすることもできます。 スキャン後すぐにパッチを配布することを選択することもできます。 これが、このセクションで説明する最も重要なオプションです。 前に作成したコンピュータ グループ、スキャン テンプレート、および配布テンプレートで、環境にあわせてスキャンおよび配布する対象を微調整しました。 プッシュされるものが何かという知識を得ていますので、ある段階から次の段階へとジョブを処理しなくても、一から十までのジョブの実行をスケジュールできます。 上の画面ショットを見ると、スキャンおよび直後の配布が毎月第2水曜日に実行されるように設定されていて、その繰り返しが定義されていることがわかります。 これは、ほぼ毎回新しいパッチがプッシュされる Patch Tuesday の翌日です。

ジョブをスケジュールする際は、スケジュールされたタスクがどこにあるかを念頭においてください。 スケジュールされたスキャンとその直後の配布は、スキャンが完了するまでコンソール上にあります。 スキャンが完了すると、すぐにパッチがコンピュータにプッシュされて実行されます。 再起動は、配布テンプレートの設定と、ターゲット コンピュータのローカル時刻に基づいてスケジュールされます。

ステージングされた配布

ステージングと配布のステップをスキャン直後に実行するのではなく、組織にとってより適切な時間にそれらの手順をスケジュールするほうが理にかなっていると判断する場合もあります。 たとえば、会社のセキュリティ ポリシーに、パッチ配布の開始時刻が 土曜日の午後10:00と規定されている場合があります。 この場合、配布ステージングのプロセスがその日の早い時間、たとえば午前8:00に開始されるようにスケジュールするのが最適である可能性があります。 これにより Security Controls は、配布パッケージの作成とターゲット コンピュータへのそれらのコピーに、土曜日終日を使えることになります。 こうすることで、配布パッケージの実際の実行が配布期間の開始時刻に行われるようにスケジュールできます。 午後10:00になる頃には、 すべてのものが適所にあり、遅延なくターゲット コンピュータへの配布が行われます。

お気に入り

お気に入りとは、コンソールがジョブの実行時に参照する、コンピュータ グループとスキャン テンプレートの組み合わせです。 お気に入りを再利用して、複数のジョブが別々の時間に実行されるようにスケジュールできます。 [お気に入り] で [処理の実行] をクリックすると、別のお気に入りを作り直さなくても、必要に応じて1回限りのジョブ、または繰り返しジョブを追加スケジュールできます。

自動電子メールによるレポート

コンピュータ グループ、スキャン テンプレート、および配布テンプレートを使用すると、自動的にレポートが生成されて指定した受信者に電子メールで送信されるように構成できます。 環境へのパッチ適用を自動化する場合、これは、必要なすべての人材の環境状態を最新に保つための簡易で効率的なツールです。 さまざまな読者やニーズに応じて各種データを表す、多様な種類のレポートから選択できます。 最適なレポートが見つかるまで、いくつかのレポートを試す必要があるかもしれません。

自動電子メール機能を使用するには、電子メール用の認証資格情報を設定する必要があります。 これを行うには、[ツール] > [オプション] > [電子メール] を選択し、電子メール サーバのアドレスと認証情報を入力します。

関連トピック