PCに対してのセキュリティパッチ適用は、セキュリティ対策の基本中の基本です。多くのマルウェア脅威はOSやアプリケーションの脆弱性を利用して、PCに侵入します。最新のパッチを適用することで90%以上の脅威を防止できるという結果もでています。
IT資産管理ツールでもセキュリティパッチ管理機能を搭載した製品が数多く提供されていますが、配布できるパッチの種類が異なるなど製品毎に特長が異なる部分でもあります。ここではIT資産管理ツールのパッチ管理機能の比較検討する上で重要となるポイントとSKYSEA Client View、LANSCOPE オンプレミス版、System Support best1(SS1)、Ivanti Endpoint Manager(Ivanti)でのパッチ管理機能の比較を説明します。
1.無償 or 有償? パッチ管理ツールの選択肢
セキュリティパッチ管理ツールの選択肢としては、大きく分けるとマイクロソフトが提供しているツールのWindows Update、Windows Server Update Service(WSUS)を利用する方法とIT資産管理ツールのパッチ管理機能を使う方法があります。まずはそれらの管理にどのような違いがあるかを把握することが重要です。以下の表はWindows Update、WSUS、IT資産管理ツールでのパッチ管理についてのメリット、デメリットをまとめたものです。
【ツールによるパッチ管理機能の概要とメリット・デメリット比較】
| ツール名 | Windows Update | WSUS | IT資産管理ツール |
|---|---|---|---|
| 概要 | インターネット上のWindows Updateサーバーから更新プログラムを入手する方法 | 社内LAN環境にWSUSサーバーを構築し、WSUSサーバーからパッチを入手する方法 | 社内LAN環境にIT資産管理ツールを導入し、IT資産管理ツールからパッチを入手する方法 |
| メリット |
|
|
|
| デメリット |
|
|
|
単にPCに対してWindows OSのパッチを適用したいということであれば、Windows UpdateやWSUSは無償で利用できるため、導入コスト面では最適な方法といえます。ただ、Windows Updateは配信するパッチを管理者側で選択できない、WSUSは帯域制限の制御やPCのポリシー設定はグループポリシーでの配布を前提としているなど、運用面で課題があるソリューションです。
【WSUSでのFU/QU取得タイミングは基本クライアントまかせとなり、管理者側での配布コントロールが難しい】
IT資産管理ツールは有償ですが、パッチ管理の他にインベントリ収集や外部記憶デバイス制御など様々な機能を提供している点が異なります。PCの運用はパッチ管理だけではありません。1つのツールでPCのライフサイクル管理に必要な機能を提供していることが、IT資産管理ツールの特長となります。
2.WSUSと各IT資産管理ツールのパッチ管理機能比較
さてIT資産管理ツールは様々な製品がありますが、下の表はWSUSと各IT資産管理ツールのパッチ管理機能における機能実装を説明したものです。
【WSUSと各IT資産管理ツールのパッチ管理機能比較】
| 機能 | WSUS | SKYSEA Client View Ver15.2 | LANSCOPE オンプレミス版 Ver9.3 | System Support best1 Ver11 | Ivanti EPM 2019 |
|---|---|---|---|---|---|
| 機能更新 プログラム(FU) の配信 |
WSUSから直接配信が可能 | マイクロソフト提供のメディア作成ツールによるアップデートインストーラの作成と設定が必要 更新プログラム制御により更新の延期が可能 |
マイクロソフト提供のメディア作成ツールによるアップデートインストーラの作成と設定が必要 | マイクロソフト提供のメディア作成ツールによるアップデートインストーラの作成と設定が必要 | マイクロソフト提供のメディア作成ツールによるアップデートインストーラの作成と設定が必要 |
| 品質更新 プログラム(QU) の配信 |
WSUSの定義から直接配信が可能 | 更新プログラム管理機能 | ダッシュボードから実施 | WSUSと連携する更新プログラム管理機能 SS1単体での配信も可能 |
Ivantiの定義から直接配信が可能 |
| Office365更新管理機能 | 非対応 | 配信可能 | 非対応 | 配信可能 | 配信可能 |
| WSUS連携 | ー | WSUS設定、更新設定の配布 | 管理者側から強制的にWSUSからのパッチ配信が可能 自動更新設定の適用 |
SS1の管理画面上から配信管理が可能 | ー |
| サードパーティーパッチの管理 | マイクロソフトのパッチのみ | できない | Adobe、Javaのパッチ適用が可能 | できない | Adobe,Javaなどの各種サードパーティー製品のパッチ管理が可能 |
| ネットワーク帯域負荷分散の方法 | IISの帯域制御やBranch CascheなどWSUS以外の機能で対応 | マルチキャスト/自動キャッシュ配信 | BITS/中継端末経由 | 帯域制限機能 | マルチキャスト/自動キャッシュ配信 |
| アップデートのタイミング | いつ、どのタイミングでアップデートを受信し、適用を開始するかを一台一台厳密に制御することはできない | ファイル転送、実行タイミングの指定が可能 PC側の任意のタイミングでの実行も可能 |
ファイル転送、実行タイミングの指定が可能 PC側の任意のタイミングでの実行も可能 |
ファイル取得、実行タイミングの指定が可能 | ファイル転送、実行タイミングの指定が可能 PC側の任意のタイミングでの実行も可能 |
そこで、ここでは代表的なパッチである機能更新プログラム(FU)や品質更新プログラム(QU)の配信などを例に、各ツールによる特長をご紹介します。
機能更新プログラム(FU)の配信
機能更新プログラム(FU)の配信はWindows 10に機能追加を行う機能更新プログラムを配信する仕組みとなります。どのツールを使っても配信できますが、WSUSと異なるのはメディア作成ツールによってインストーラーを作成する必要があるということです。ツール自体は無償で利用でき、インストーラーの作成もそれほど手間のかかる作業ではないのでインストール設定自体はどのツールでも難易度の高い作業ではありません。
SKYSEA Client Viewの特長として、「更新プログラム制御」機能があります。これは更新許可した機能更新プログラムのバージョンのみインストールを許可する機能です。新しい機能更新プログラムがリリースされても、すぐに適用せず、検証を経てから適用させたいといった際に、ユーザーによる勝手なアップデートを禁止することができる機能となります。
また、機能更新プログラムはファイルサイズが数GBあるので、後述の「ネットワーク帯域負荷分散の方法」、「パッチ適用のタイミング」で説明する各PCへのインストーラー配信とインストール実行の制御が重要なポイントとなります。
【SKYSEA Client ViewのWindows 10 FU配布設定画面サンプル】
品質更新プログラム(QU)の配信
品質更新プログラム(QU)の配信は従来からのWindowsセキュリティパッチプログラムの配信機能となります。以前まで多くのIT資産管理ツールはパッチのインストーラーをマイクロソフトのサイトから個別にダウンロードし、1つずつ配布設定を作成する必要がありましたが、最近では多くのツールで更新プログラム専用の配信機能を搭載する様になりWSUSと遜色のない運用ができるようになりました。
Office 365更新管理機能
Office 365更新管理機能はOffice 365/Office 2019の更新プログラムを配信する機能となります。意外なことにWSUSは現状Office 365の更新には対応していません(2020年春 現在)。いくつかのIT資産管理ツールはOffice 365更新機能を搭載しており、通常のWindowsパッチと同様の管理が可能となっています。
【WebコンソールのダッシュボードからQU未適用PCの抽出とパッチ配布設定が可能(LANSCOPE オンプレミス版)】
WSUS連携機能
WSUS連携機能はWSUSをすでに運用で利用しており、Windows関連のパッチに関しては既存のWSUSを利用する際にIT資産管理ツールと連携する機能になります。WSUSはパッチ取得のタイミング指定ができないという運用上の難点がありますが、WSUS連携機能を利用すると、WSUSからのパッチ適用をIT資産管理ツールが指定したタイミングで実施でき、緊急度の高いパッチがリリースされた際に即座に配信する、といった運用が可能となります。何らかの原因でWSUSから配信できなかったパッチをIT資産管理ツールの配布機能を使って配信し、パッチ適用率を高めるということもできます。
また、WSUSを利用する際のPC設定はActive Directoryのグループポリシーを使って配布しますが、ワークグループ環境の場合は1台1台設定を実施する必要があります。IT資産管理ツールのWSUS連携機能はPC設定をIT資産管理ツール側で設定し、配布できるのでワークグループ環境でも簡単に設定を展開することができます。
【WSUSとIT資産管理ツールを連携させた運用例】
サードパーティー製品パッチの管理
サードパーティー製品パッチの管理はマイクロソフト以外の製品、AdobeやJavaなどのパッチを管理する機能です。Adobe Reader、FlashやOracle Javaなどは脆弱性が発見されるケースが多くWindowsの脆弱性よりも悪用される頻度が高いと言われていますが、Windowsパッチ以上に管理が徹底されていないケースが多くあります。
この機能に関してはIT資産管理ツールの中でも対応状況が分かれる部分になります。Ivantiは以前からパッチ管理機能に定評があり、Adobe製品やJavaに加え50種類以上のアプリケーションベンダーのパッチ管理と配信が可能です。独自にパッチカタログ情報を持っており、カタログから管理したいパッチを選択すると、そのパッチの適用状況の確認と、未適用の場合は自動インストールすることが可能となっています。
【50種類以上のアプリケーションパッチ管理と配信が可能(Ivanti)】
ネットワーク帯域負荷分散の方法
ネットワーク帯域負荷分散はある程度のPC台数が存在する環境でパッチ管理をする上で重要な機能になります。累積パッチやWindows 10の機能更新プログラムなどのリリースされるパッチのファイルサイズが大容量化してきており、一斉に数百台のPCに対して適用してしまうとネットワークトラフィックがパンクしてしまいます。
ネットワーク帯域負荷分散機能はIT資産管理ツールによって実装している方法が異なりますが、大きくは「帯域制限」、「マルチキャスト」、「自動キャッシュ配信」に3つの方式になります。
帯域制限
あらかじめネットワークの中でパッチ配信時に使用する帯域量を指定する方式です。BITSも帯域を占有せずにデータを流す形式です。
マルチキャスト
管理サーバーから任意で選ばれた代表PCに対してのみにパッチを配信し、代表PCからマルチキャストで他のPCに配信を行う方法になります。
自動キャッシュ配信
パッチを受け取ったPCが一定期間パッチを自身にキャッシュしておき、同じネットワークに存在する他のPCに対してパッチ配信が必要な場合は、管理サーバーからではなく同じネットワークに存在するキャッシュPCからパッチを取得する方式となります。
この様な配信機能を組み合わせることでネットワーク負荷を低減したパッチ配信が可能となります。
パッチ適用のタイミング
パッチ適用のタイミングは、パッチをいつPCにインストールするかを制御する機能です。WSUSの運用上の課題は適用タイミングの指定が難しいということが挙げられます。特にWindows 10の機能更新プログラムの適用に関しては、開始してから1時間程度の時間が必要となるケースが多いため、実施のタイミングを間違えると業務に支障を与えてしまう可能性があります。
IT資産管理ツールを使う大きなメリットとして、適用タイミングの指定が柔軟にできるということがあります。指定した時刻で実行する、ユーザー側の任意のタイミングで実行させるなど様々な指定ができるので、業務へのインパクトを最小限にしたパッチ適用が可能となります。
パッチ管理機能のまとめ
冒頭にご説明したように、パッチ管理はPCのセキュリティ管理を実施する上でもっとも基本的な対策となります。パッチ管理機能の機能比較は色々な項目がありますが、ツール選択の機能面でのポイントとしては、次の3つが大きな選択肢のポイントとなります。
- WSUSで要件を満たすのか
- サードパーティー製品のパッチ管理の方針
- 自社の運用にあった配信方法を搭載しているか
プロフェッショナルからのコメント
パッチ管理機能は、記事にある機能的な比較に加え、管理画面と使うIT管理者との相性も実際の運用では重要なポイントになります。製品選定に際には、デモンストレーションや評価などを通じて実際の運用手順を確認しておくことがおすすめです。
各IT資産管理ツールのパッチ管理機能詳細
SKYSEA Client View
LANSCOPE オンプレミス版
System Support best1
Ivanti
関連セミナー
| いますぐ視聴できるオンデマンドセミナー | 定期開催オンラインセミナー | ||
|---|---|---|---|
15分で 機能別IT資産管理ツール解説セミナー |
60分で 売れ筋「IT資産管理ツール」比較セミナー |
||
 |
IT資産管理ツールの中でもニーズが高い「デバイス管理」や「ログ管理」機能などをピックアップして、機能ごとに各ツールの特長を15分で解説いたします。 | 
|
選定時に必ず比較対象となるSKYSEA Client Viewや LANSCOPE、SS1などの売れ筋 IT資産管理ツールの紹介セミナーを開催します。それぞれの特長や機能を比較いただきながら、自社に最適な IT資産管理ツールの導入検討にお役立てください。 |
セミナー詳細・お申込み |
セミナー詳細・お申込み |
||
関連記事
IT資産管理の窓口 ―自社に最適なIT資産管理ツールの選定・導入をご支援
IT資産管理の窓口では、特定のメーカーに縛られないマルチベンダー対応で、公平中立な立場からお客様の目的に合った最適なツールをご提案いたします。さらに、ITILやSAM関連の知識と認定資格を持つサイバネットシステムの担当者がIT資産管理ツールの選定だけでなく、導入方法や最適運用までワンストップソリューションでご提供します。
比較デモや詳しい説明が行える幅広い製品ラインナップをご用意
IT資産管理ツールの導入目的は「IT資産の現状把握」「ライセンス管理」「セキュリティの強化」など、お客様によってさまざまです、また、サーバーをこれ以上増やしたくない、店舗や海外拠点のPCも管理したいなど導入環境によっても最適なIT資産管理ツールは異なります。
そこで、IT資産管理の窓口では、6つのIT資産管理ツールと関連オプション製品をご用意しております。導入検討に至ったお客様の背景をしっかりヒアリングさせていただき、課題解決や目的に適したIT資産管理ツールをご提案いたします。
IT資産管理ツール
国内外にあるPCとスマートデバイスの資産管理・セキュリティ対策を一元管理できるクラウドサービス。
国内15年連続トップシェアを誇るネットワークセキュリティ統合管理ツール。
IT資産の運用管理に不可欠な機能を集約。業務の効率化と情報漏えいリスク軽減を実現するクライアント運用管理ソフトウェア。
グローバルで19,000社の実績をもつ統合IT資産・セキュリティ管理ソリューション。
社内のIT資産管理を支援するツールとして必要な機能を網羅したオールインワンパッケージ。
基本機能とニーズにあわせ選んで導入できるオプション機能で初期投資をおさえ、低コストで導入可能なIT資産管理ソフトウェア。
関連オプション
"ソフトウェア辞書・ライセンス管理マスタ"をクラウド上に実装しており、短期間でライフサイクルプロセスに対応したSAM管理台帳機能の導入・運用が可能。
ルールに違反しているファイルを探し出し、ルール通りの対処を施す新しいコンセプトの個人情報検出、管理ソリューション。
ハードディスク全体を自動的に暗号化し、PCの盗難・紛失時、また悪意ある第三者によるハードディスク・データ読み出しから貴重な情報を保護します。
従来型だけでなく、未知のマルウェア(ファイルレス)攻撃にも対応でき、EDR機能も備えている次世代型アンチウイルスです。
製品比較デモ・製品比較のサポートについて
特定のメーカーに縛られないマルチベンダー対応で、複数製品を同じレベルでご説明、製品デモンストレーションすることができます。公平中立な立場でお客様に最適なツールをご提案いたします。
