Patch Management のベストプラクティス

適用対象： WatchGuard Patch Management。 本トピックは、WatchGuard Endpoint Security モジュール、Patch Management に適用されます。パッチ管理は、WatchGuard EPDR 、WatchGuard EDR、および WatchGuard EPP で使用可能です。

WatchGuard Patch Management については、以下のベストプラクティスに従うこと勧められます。

• Patch Management が適切に機能していることを確認する
• すべての重要なパッチを定期的にインストールする
• 重大な既知の脆弱性のパッチが適用されていないコンピュータを隔離する
• コンピュータにインストールされているプログラムが EOL になっていないことを確認する
• インストール履歴を確認する
• インシデントが発生したコンピュータのパッチのステータスを確認する

Patch Management が適切に機能していることを確認する

Patch Management が正しく機能していることを確認するには、ネットワークのすべてのコンピュータで以下をチェックします。

• Patch Management ライセンスが割り当てられており、Patch Management がインストールおよび実行されていることを確認します。問題を特定するには、次のダッシュボードで パッチ管理のステータス タイルを使用します：Patch Management ダッシュボード。
• WatchGuard サーバーとの通信が可能であることを確認します。接続に問題がある可能性があるコンピュータを特定するには、次のダッシュボードで、最終確認からの経過時間 タイルを使用します：Patch Management ダッシュボード。
• 自動更新が無効化されている状態で Windows Update サービスが実行されていることを確認します。自動更新を無効化するには、パッチ管理設定 で コンピュータの Windows Update を無効にする オプションを選択します。

すべての重要なパッチを定期的にインストールする

ソフトウェア ベンダーが自社製品の欠陥を発見すると、その欠陥を修正するための更新とパッチをリリースします。重要なパッチは少なくとも月に 1 回インストールすることが勧められます。

利用可能なパッチを確認するには、利用可能なパッチ リストを使用します。リストをフィルタリングして、重要なパッチまたは特定のコンピュータのパッチを特定します。詳細については、次を参照してください：利用可能なパッチを表示する。

Patch Management で重要なパッチを自動的にインストールするためのダウンロード URL を取得できない場合は、パッチを手動でダウンロードしてインストールしてください。詳細については、次を参照してください：パッチを手動でダウンロードする。

重大な既知の脆弱性のパッチが適用されていないコンピュータを隔離する

WannaCry ランサムウェアなど、非常に深刻な脅威となる重大な既知の脆弱性の場合は、その脆弱性を修正する公開パッチがまだ適用されていないコンピュータを隔離することを検討してください。

こうした場合は、利用可能なパッチ リスト を使用して、重要なパッチが適用されていないコンピュータを特定することができます。コンピュータを隔離するには、1 つまたは複数の行のチェックボックスを選択して、ツールバーで コンピュータを隔離 をクリックします。

Caution: 非常に深刻な脅威でない場合は、パッチが適用されていないコンピュータを隔離することは勧められません。WatchGuard Endpoint Security では、リモート フォレンジック分析の実行および修正ツールの使用に必要な通信を除き、隔離されたコンピュータとの間のすべての通信が拒否されます。DNS サーバーなど、ビジネスにとって重要な機能を実行しているコンピュータまたはサーバーの場合は、それを隔離する前に、緊急時対応計画 (コンティンジェンシー プラン) が制定されていることを確認してください。

詳細については、次を参照してください：コンピュータを隔離する。

コンピュータにインストールされているプログラムが EOL になっていないことを確認する

EOL (End Of Life) プログラムの場合は、ソフトウェア ベンダーからパッチや更新が提供されなくなります。攻撃対象領域を削減するために、コンピュータにインストールされている EOL プログラムを置き換える必要があります。

EOL (End of Life) プログラムを特定するには、EOL プログラムのリストを使用します。詳細については、次を参照してください：EOL (End Of Life) プログラムを確認する。

インストール履歴を確認する

インストール履歴リストを使用して、パッチのインストールのステータスを確認し、インストール エラーが発生したコンピュータを特定します。詳細については、次を参照してください：インストール履歴を表示。

インシデントが発生したコンピュータのパッチのステータスを確認する

Patch Management では、インシデントが記録されたコンピュータとそのパッチのステータスが関連付けられます。これにより、感染したコンピュータや脅威が検出されたコンピュータに適用できるパッチがあるかどうかを判断することができます。コンピュータでインシデントが発生した場合は、利用可能なパッチをコンピュータにインストールすることが勧められます。

パッチをインストールすると、パッチはソフトウェア ベンダーからダウンロードされます。そのため、パッチの適用に遅延が発生する可能性があります。よって、パッチを適用しなければならないコンピュータは、まず分離することが勧められます。分離することで、パッチがインストールされるまでの間に、企業ネットワークにある他のコンピュータが感染するリスクを最小限に抑えることができます。

利用可能なパッチを特定するには、セキュリティ ダッシュボード で脅威をクリックし、影響を受けたコンピュータを選択して、利用可能なパッチを表示 をクリックします。利用可能なパッチ リストが開いて、コンピュータに適用できるパッチが表示されます。詳細については、次を参照してください：利用可能なパッチを表示する。

また、コンピュータの詳細 ページで、コンピュータに適用できるパッチと EOL (End Of Life) プログラムの概要を確認することができます。詳細については、次を参照してください：コンピュータの詳細。

インシデントが検出されたコンピュータを見つけて必要なパッチをインストールするには、以下の手順を実行します。

1. ステータス を選択します。
2. いずれかのウィジェットで、コンピュータまたはインシデントをクリックします。
   • アンチウイルスで検出された脅威
   • Malware Activity (マルウェア アクティビティ)
   • PUP アクティビティ
   • エクスプロイト アクティビティ
   • 現在ブロックされている分類中のプログラム
     コンピュータで検出された脅威に関する情報が表示されます。
3. 影響を受けたコンピュータ セクションで、利用可能なパッチを表示 をクリックします。
   選択されているコンピュータでフィルタリングされた状態で、利用可能なパッチ リストが開きます。
4. コンピュータで利用可能なパッチをすべて選択します。
5. アクション ツールバーで、インストール をクリックします。
6. パッチのインストール タスクを作成します。詳細については、次を参照してください：Patch Management のベストプラクティス

関連トピック

Patch Management について