パッチの影響分析 (バージョン 2019以降)

デバイスにパッチを適用する際、パッチによる影響を受けるファイルやアプリケーションを把握するのは大変です。パッチの適用対象を破壊するバッチがないか、他のアプリケーションに影響するパッチがないか、といったことは重大な懸念事項です。組織内のどのデバイスがパッチの影響を受けるか、簡単な方法で判定できたらどうでしょうか。グループ内のデバイスがパッチの影響を受ける可能性がどの程度あるかという観点で、一連のパッチを対象に最適なパイロット グループを簡単に作成できたらどうでしょうか。 Endpoint Manager および Security 2019.1 で導入された「パッチの影響分析」があれば、これらのことをすべて行えます。

パッチの影響分析は、クライアント ユーザ フィードバック エージェントに依存しますが、既定ではこのエージェントは無効になっています。このエージェントは、 パッチが実行したファイルの変更や削除についてのリアルタイム監視を可能にします。このエージェントがアプリケーションのクラッシュを検出し、そのデータをコア サーバに報告します。オプションでクライアント側のユーザ インターフェイスも用意されていますので、ユーザがアプリケーションのクラッシュを手動で報告することもできます。

パッチ影響分析には、より効率的な働きを助けるための学習期間が必要です。この学習期間は、できるだけ多くのデバイス上でクライアント ユーザ フィードバック エージェントを有効にすることで短縮されます。

この技術がアプリケーションとパッチ間の依存関係を学習し判定できるようにするためには、パッチが適用されたアプリケーションをエンドユーザが各自のデバイス上で実行する必要があります。影響分析アルゴリズムがより正確な予測を行えるようにするためには、破壊されたアプリケーションをユーザが報告するか、またはパッチが原因でクラッシュしたアプリケーションをこの技術が自動検出する必要があります。

  1. [ツール] > [構成] > [エージェントの構成] > [配布とパッチ] の順にクリックします。既存の構成をダブルクリックするか、右クリックして新しい構成を作成します。
  2. [ユーザ フィードバック] ページを選択し、[ユーザによる、破損したアプリケーションの報告を許可する] を有効にします。管理されたデバイスでユーザ インターフェイスを非表示にする場合は、そのオプションも選択します。
  3. [保存] をクリックします。
  4. 更新されたエージェント設定を配布します。
  1. [ツール] > [セキュリティと準拠] > [パッチと準拠] で、分析するパッチを選択します。パッチを1つまたは複数選択できます。選択したパッチを右クリックし、[パッチの影響分析] をクリックします。
  2. [パッチの影響分析] ウィンドウで、分析するデバイスを追加します。これは、ターゲット カテゴリを選択し、[追加] ボタンをクリックすることによって行います。
  3. [リスクの計算] ボタンをクリックします。この計算には、少し時間がかかることがあります。

  4. リスクが計算されると、[最適なパイロット グループ] タブに、選択したデバイスの中でどのデバイスが最もパッチの影響を受ける可能性が高いかが示されます。この影響は、数ある要因の中でも特に、影響を受けたファイルまたはアプリケーションがあるかどうかによって計算されます。分析に基づき、各デバイスに計算されたリスク要因が示されます。 これらのリスク要因については、このセクションで後述します。

  5. 詳細を表示するには、デバイスをダブルクリックします。

  6. 影響を受けたすべてのアプリケーションの概要については、[危険にさらされているアプリケーション] タブをクリックします。影響を受けたアプリケーションのみが表示されるようにリストを絞り込むには、[パッチが未適用のコンピュータがないアプリケーションを非表示にする] オプションを使用します。
  7. [最適なパイロット グループ] タブで、[パイロット グループの提案] ボタンをクリックすると、パイロット グループに含めるべきデバイスの推奨リストが生成されます。このパイロット グループを使用して、選択したパッチをテストできます。このボタンをクリックすると、ボタンのラベルが [すべてを表示] に変わり、ビューの切り替えができます。
  8. パイロット グループに含めるデバイスを選び、選んだデバイスを右クリックして、[修復タスクの生成] をクリックします。
  9. [パッチと準拠 - 修復タスク] ダイアログ ボックスが開きます。パッチ適用の対象として選択したデバイスと、適用するパッチが含まれています。
  10. 修復タスクを実行して、影響を受けたデバイスを監視します。[パッチと準拠] ツリーの [破損したアプリケーション] および [報告された正しくないパッチ] という項目が、監視に役立ちます。

パッチの影響分析により、選択したデバイスにリスク要因が割り当てられます。一般的には、まず、テストの工数を重要なリスク要因に集中させ、その後、高レベルおよび中レベルのリスク要因に移ります。

リスク要因には次のレベルがあります。

  • 中: このアプリケーションに直接影響を及ぼすパッチが、選択されたパッチの中に少なくとも1つありますが、ユーザ フィードバック エージェントは、選択されたパッチがこのアプリケーションを破壊しているという報告は収集していません。 パッチとアプリケーションの間に直接的な依存関係がありますので、このアプリケーションをテストしてからパッチを配布することをお勧めします。
  • 高: 影響を受けたアプリケーションに関してクラッシュの報告があったか、ユーザがパッチの不正動作を報告しましたが、その報告は同じファミリ内の別のパッチについてのものでした。 たとえば、あるユーザが以前に Java パッチ JDK8-211_INTL がアプリケーション X を破壊していると報告しましたが、パッチ影響レポートは現在分析しているのは、同じアプリケーション X 上でのパッチ JDK8-212_INTL (つまり、別の Java パッチ) の影響です。前のパッチがこのアプリケーションを破壊していたことは、パッチ影響分析アルゴリズムが認識していますので、新しいパッチで同アプリケーションをテストすることを強くお勧めします。
  • 重要: パッチ影響分析アルゴリズムは、影響を受けたアプリケーションに関して前にクラッシュがあったことが、ユーザ フィードバック エージェントによって自動的に、またはクライアント ユーザ フィードバック アプリケーションを通じて手動で報告されていたことを判定しました。このアプリケーションは既に、パッチによる破壊を受けていたことが報告されていますので、同じアプリケーションがインストールされている他のデバイスをテストしてからパッチを適用することが重要です。
  • 不明: このアプリケーションがインストールされていることはインベントリにより検出されましたが、分析の結果、このアプリケーションと選択されたパッチのいずれの間にも依存関係は検出されませんでした。通常は、結果として、影響が低レベルであるか、影響なしとなります。