Written by 夏野ゆきか
Windowsアップデートの管理を効率化!
LANSCOPE エンドポイントマネージャー
クラウド版とは
「パッチの未適用端末の検出」「アップデートの一括配信」など、
効率的な管理サポートをおこないます。
目 次
セキュリティパッチとは、OSやソフトウェアなどの脆弱性(セキュリティ上の欠陥)を修正するために、ベンダーが利用者に配布する修正プログラムのことです。
システムの脆弱性を狙ったサイバー攻撃は後を絶たず、セキュリティパッチを配布後速やかに適用することは、セキュリティ対策の基本として欠かせません。身近な例であれば、WindowsOSにパッチを適用する「Windows Update」などが有名です。
また企業・組織であれば、セキュリティパッチの適用漏れを防ぐため、管理者がパッチ情報の収集~従業員PCへのパッチ配布までを一括で担う「パッチ管理」を行うことが有効です。効率的でミスのないパッチ管理の実現を支援するツールとして、WUSU等の無料ツールをはじめ、各ベンダーがパッチ管理ツールを提供しています。
▼この記事を要約すると
- セキュリティパッチとは、OS・アプリケーション・ソフトウェアなどの脆弱性を修正するためにベンダーが利用者に配布するプログラムのこと
- セキュリティパッチの適用を怠ると、サイバー攻撃の起点となる脆弱性が残ったままになり、不正アクセスやマルウェア感染といった被害にあう
- パッチ管理とは、組織が所有するデバイスごとに「セキュリティパッチの適用状況の把握」「各デバイスへのパッチ配布」「適用」までの一連のプロセスをセキュリティ担当者が管理すること
- IT資産管理ツールを使用するとパッチ情報の収集や適用を自動で行ってくれるので、効率的にパッチ管理ができる
- セキュリティパッチの管理は「1脆弱性情報の収集」「2セキュリティパッチを入手」「3パッチテストおよび適用スケジュールを作成」「4セキュリティパッチを適用」という手順で行われる
セキュリティパッチとは?
セキュリティパッチとは、OS・アプリケーション・ソフトウェアなどの脆弱性を修正するために、ベンダーが利用者へ定期的に配布するプログラムのことです。
OSやソフトウェアの中には、公開・出荷後に脆弱性(ソフトウェアの設計ミスなどで生じたセキュリティ上の欠陥)が発見されるものが少なくありません。しかし「脆弱性=セキュリティが甘く侵入しやすい状態」であるため、放置すれば攻撃者に悪用され、不正アクセスやマルウェア感染といった犯罪の踏み台となる可能性があります。
こういった脆弱性対策として、各製品の開発や提供をおこなったベンダーが配布するのが「セキュリティパッチ」です。パッチ適用によって、脆弱性が含まれるプログラムや設定ファイルが書き換わり、セキュリティホールの修正をおこないます。
「Windows Update」はその代表例であり、Windows OSを最新の状態に保つための更新プログラムです。セキュリティパッチや機能更新プログラムを含んでおり、適用することでシステムのセキュリティを強化し、新たに発見された脆弱性からOSを守ります。
セキュリティパッチ未適用による、サイバー攻撃被害が後を絶たない
セキュリティパッチを必要とする主たる目的は、サイバー攻撃の起点となる脆弱性を解消するためです。
しかし、パッチ適用の重要性が喚起される昨今であっても、今なお「パッチ未適用」が原因となる、サイバー攻撃被害が後を絶ちません。
実際、警察庁が令和5年に発表した調査結果によると、ランサムウェア被害にあった企業・団体のうち68%が「未適用のセキュリティパッチがあった」と回答し、パッチ管理の甘さが被害を招いている事実が伺えます。
出典:警察庁|令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について(令和5年9月21日)
攻撃者は合法的なやり方ではなく、ダークウェブマーケット等の非合法的なルートで、いち早くターゲットの脆弱性情報を掴み攻撃を仕掛けます。速やかかつ定期的にセキュリティパッチを適用し、脆弱性を解消することは、サイバー攻撃対策の基本として欠かせません。
またセキュリティパッチには、脆弱性の解消以外にも
- 新機能の追加
- システムの不具合、バグの修正
といった役割を果たす場合があります。
Windows10にて、セキュリティパッチの確認をおこなう例
セキュリティパッチの適用・および適用状況を確認する方法は、OSごとに異なります。
ここでは「Windows10のパッチ適用」を例にご紹介します。
「Windows10」のセキュリティパッチ適用
Windows10に関する、セキュリティパッチ適用の確認手順は以下の通りです。
- スタートメニュー内の設定(歯車のマーク)をクリックし、Windowsの設定画面から「更新とセキュリティ」を選択
- 「Windows Update」内にある「更新プログラムのチェック」をクリック
- 「最新の状態です」と表示されれば、セキュリティパッチの適用は完了
仮にこのとき未適用のプログラムがあれば、自動的に更新プログラムのダウンロードが開始されます。更新プログラムの適用を終えると、「お使いのデバイスは最新の状態です」と表示され、パッチ適用は完了です。
また「更新の履歴を表示する」より、過去のインストールした更新プログラムの履歴を確認することも可能です。
企業に必要な「セキュリティパッチの管理」とは
「パッチ管理」とは、企業・組織が所有するデバイスに対して
- セキュリティパッチの適用状況の把握
- 各デバイスへのパッチ配布
- セキュリティパッチの適用
といった一連のプロセスを、セキュリティ担当者が管理する業務を指します。
パッチ管理が必要な理由は、従業員個人に適用を任せることで発生する、セキュリティパッチの適用漏れを防止することです。担当者側がデバイス毎の適用状況を調査し、一括でパッチ配布をおこなうことで、従業員のリテラシーに左右されず脆弱性の放置リスクを回避できます。
関連ページしかし組織の管理者が全てのパッチ管理を手動で行うことは非現実的であり、ミスや適用漏れのリスクがあります。組織規模が大きくなるほど対象となる端末数も増加するため、管理は複雑化するでしょう。
パッチ管理には、管理業務をシステムで自動化する、専用のツールを導入することが効果的です。製品の例として、無料でMicrosoft製品のアップデートを管理できる「WSUS(ダブルサス)」や、資産管理機能も備えたMicrosoftの「SCCM」等があります。
またWindows アップデートの管理においては、WSUSの利用に加えて、各セキュリティベンダーが提供する「IT資産管理ツール」を活用することで、効率的かつ正確なパッチ管理をおこなうことが可能です。
エムオーテックス(MOTEX)では、Windowsアップデート情報の収集から配布、未適用デバイスの検出までを簡単におこなえる、IT資産管理・MDMツール「LANSCOPE エンドポイントマネージャー クラウド版」を提供しています。
▼LANSCOPE エンドポイントマネージャー クラウド版でおこなうアップデート・パッチ管理
Windowsアップデートの管理を効率化!
LANSCOPE エンドポイントマネージャー
クラウド版とは
「パッチの未適用端末の検出」「アップデートの一括配信」など、
効率的な管理サポートをおこないます。
セキュリティパッチ管理を行うための手順
企業・組織の管理担当者が、セキュリティパッチ管理を行う手順についてご説明します。
- 脆弱性情報の収集
- セキュリティパッチを入手
- パッチテストおよび適用スケジュールを作成
- パッチ適用と適用後の状態確認
1.脆弱性情報の収集
自社が扱うシステムに関する、脆弱性情報・パッチ情報を、開発元やメーカーより収集します。
このとき管理ツールを活用することで、各ベンダーサイトから脆弱性情報を自動収集し、自社端末に適用すべきパッチを自動で検出・振り分けることができます。
2.セキュリティパッチを入手
セキュリティパッチの適用が必要と判断した場合は、ベンダーの公式サイトからダウンロードしましょう。基本的にベンダー側より無償提供されます。
3.パッチテストおよび適用スケジュールを作成
本番環境でパッチを適用する前に、検証用PCを用いたテストを行います。パッチを適用したことで、既存のシステムに不具合が生じる可能性があるためです。
またパッチの適用はネットワークに負荷がかかる、PCの再起動等が必要となる等、業務に支障をきたす可能性があります。業務時間外に配布する等、スケジュール調整をおこないます。
4.パッチ適用と適用後の状態確認
配布スケジュールに基づきパッチ適用をおこないます。
適用後は正しくバージョンが反映されているか、動作に問題がないか、適用漏れ等を管理者側で調査しましょう。
Windowsアップデートなど
セキュリティパッチの効率的な管理は「LANSCOPE エンドポイントマネージャー クラウド版」にお任せ
エムオーテックスが提供する「LANSCOPE エンドポイントマネージャー クラウド版」は、Windowsアップデートの効率的な管理の実現をサポートする、IT資産管理・MDMツールです。
Windowsアップデート管理に関して、以下のような機能を備えています。
- 最新のWindowsアップデート(機能更新プログラムや品質更新プログラムなど)が未適用の端末を、管理画面で一覧表示
- 配信日時や表示メッセージ等、細やかな設定に基づく、Windowアップデートの一括配信
- 端末がインターネットに接続されていれば、社内ネットワークにアクセスしない社外利用の端末も管理が可能
- Windowsアップデートの配信後の成功・失敗の把握
アップデートの適用状況把握から配信までをワンストップで管理
LANSCOPE エンドポイントマネージャー クラウド版 では、Microsoft社が提供する「機能更新プログラム」(Feature Update[FU])や「品質更新プログラム」(Quality Update[QU])の適用状況を管理画面より把握し、パッチ・更新プログラムを配信するまでを、ワンストップでおこなえます。
▼LANSCOPE エンドポイントマネージャー クラウド版で「未適用デバイス」を一括確認
▼更新プログラム・パッチの配信日時・メッセージを設定し、配布を実行
管理者側でアップデートの配信・適用まで一括で操作できるため、従業員のリテラシーに左右されないパッチ管理が可能です。
デバイスの所在(社内・社外)を問わないアップデート管理が可能に
LANSCOPE エンドポイントマネージャー クラウド版では、社内ネットワークに接続されていないデバイスも管理が可能です。そのため、テレワーク利用のデバイスであっても、パッチ配信や適用状況の把握がおこなえます。
また Microsoft の提供ツール「WSUS」と併用し、ネットワーク負荷の少ない効率的な管理もできます。
▼LANSCOPE エンドポイントマネージャー クラウド版✕WSUSの運用イメージ
パッチ・アップデート管理以外にも、IT資産管理に役立つ機能を網羅
その他、LANSCOPE エンドポイントマネージャー クラウド版はWindowsアップデート管理の他、PC操作ログの取得などIT資産管理ツールの機能を有しています。また、PCだけでなくスマホ管理のMDM機能も備えており、PCとスマホをまとめて管理できます。
▼LANSCOPE エンドポイントマネージャー クラウド版 の主な機能
- 「操作ログ」取得による従業員の不正行為の抑止・働き方の見える化
- USBメモリなどの記録メディアの利用制御
- アプリケーションの配信や利用制御
- リモートロック・ワイプなど紛失対策
- アンチウイルスソフトとの連携等による、強固なセキュリティ対策
また、LANSCOPE エンドポイントマネージャー クラウド版は、クラウドサービスのため、導入にサーバーの調達・構築などのコストは一切発生せず、導入がスムーズにおこなえる点もポイントです。
自社のセキュリティパッチ・OSアップデート管理をはじめ、無駄のないIT資産管理をおこないたい、幅広い企業様におすすめです。
まとめ
今回は「セキュリティパッチ」をテーマに、その役割や重要性・管理手順についてご紹介しました。
本記事のまとめ
- セキュリティパッチとは、OS・アプリケーション・ソフトウェアなどの脆弱性を修正するためにベンダーが利用者に配布するプログラムのこと
- セキュリティパッチの適用を怠ると、サイバー攻撃の起点となる脆弱性が解消されず、不正アクセスやマルウェア感染といった被害に悪用される
- パッチ管理とは、組織が所有するデバイスに「セキュリティパッチの適用状況の把握」「各デバイスへのパッチ配布」「適用」までの一連のプロセスを、セキュリティ担当者が管理すること
- パッチ管理は「1脆弱性情報の収集」「2パッチ入手」「3パッチテストおよびスケジュール作成」「4パッチ適用と事後確認」という手順で行われる
- IT資産管理ツールを使用するとパッチ情報の収集や配布を一括・自動でおこなえるので、効率的にパッチ管理ができる
OS・ソフトウェアを最新の状態に保ち、迅速にセキュリティパッチを適用することは、サイバー攻撃対策における基本です。企業・組織の管理者は、ぜひ自社にあった管理ツールを活用しながら、適切なパッチ管理をおこなっていきましょう。
Windowsアップデートの管理を効率化!
LANSCOPE エンドポイントマネージャー
クラウド版とは
「パッチの未適用端末の検出」「アップデートの一括配信」など、
効率的な管理サポートをおこないます。
おすすめ記事
