パッチをインストールする

適用対象: WatchGuard Patch Management。

WatchGuard Patch Management では、パッチや更新をインストールするためにタスクを使用します。コンピュータにパッチをインストールするには、タスクを追加する必要があります。

パッチを直ちにインストールするタスクを追加する、または特定の時刻に実行されるタスクをスケジュールすることができます。タスクを直ちに実行する場合は、Patch Management によってリアルタイムでパッチのダウンロードおよびインストールが行われますが、インストールに再起動が必要な場合でも、Windows または Linux コンピュータでは再起動が実行されません。一部の Mac パッチでは、コンピュータが自動的に再起動されます (_SoftwareUpdate.pkg など)。

スケジュールされたタスクの場合、パッチのインストールに関連するすべての設定を構成し、希望する時刻にタスクを開始することができます。また、以前にインストールしたパッチに起因して問題が発生した場合は、そのパッチをアンインストールするタスクを追加することができます。

詳細については、以下のセクションを参照してください。

パッチのダウンロード

WatchGuard Patch Management を使用してパッチをインストールする前に、まずコンピュータにソフトウェア ベンダーのパッチをダウンロードします。パッチ インストール タスクが開始されると、各コンピュータでダウンロードがバックグラウンドで実行されます。

帯域幅の使用量を最小限に抑えるため、Patch Management では、ネットワークのキャッシュ コンピュータを使用してパッチと更新がダウンロードおよび配布されます。

  • Windows または macOS オペレーティング システム:キャッシュ コンピュータおよびインターネットからパッチをコンピュータにダウンロードすることができます。WatchGuard プロキシからパッチをダウンロードすることはできません。
  • Linux オペレーティング システム:ディストリビューション パッケージ マネージャーを使用して、インターネットからパッチをコンピュータにダウンロードすることができます。WatchGuard プロキシまたはキャッシュ コンピュータからパッチをダウンロードすることはできません。

キャッシュ コンピュータまたはリポジトリ コンピュータにパッチがまだ存在しない場合は、パッチのインストール タスクを用いて、ソフトウェア ベンダーからパッチをダウンロードする必要があります。クイック タスクでは、タスクを作成すると同時にパッチのダウンロードが開始されます。このため、タスクが多くのコンピュータに適用される場合やパッチが大きい場合は、帯域幅の使用量が多くなる可能性があります。

スケジュールされたパッチ インストールタスクでは、タスクを構成した時点でパッチのダウンロードが開始されます。複数のタスクの開始時刻が重なった場合、同時ダウンロードを防いで帯域幅の使用を最小限に抑えるため、Patch Management によってタスクが最大 2 分遅延されます。

キャッシュ コンピュータにはパッチが最大 30 日間保存され、その後パッチは削除されます。コンピュータによって要求されたパッチがキャッシュ コンピュータのリポジトリにない場合、キャッシュ コンピュータにそのパッチがダウンロードされるまで、コンピュータは待機します。待機時間は、ダウンロードするパッチのサイズによって異なります。キャッシュ コンピュータにパッチをダウンロードできない場合は、代わりにターゲット コンピュータへのパッチのダウンロードが試みられます。

また、パッチを手動でダウンロードして、キャッシュ コンピュータにコピーすることができます。詳細については、パッチを手動でダウンロードする を参照してください。

パッチのインストール タスクを追加

パッチをインストールするタスクは、利用可能なパッチ リスト、コンピュータ ページ、または タスク ページから追加することができます。

脆弱性に対処するために提供されるセキュリティ パッチの重要度は、ソフトウェア ベンダーによって定義されています。パッチの分類不変的はものではなく、ベンダーによって異なります。パッチをインストールするかどうかを判断する際、特にベンダーが「重大」に分類していないパッチの場合は、その説明を確認することをお勧めします。

管理ユーザーのロールに応じて、WatchGuard Cloud で表示および実行できる内容が異なります。この機能を表示または構成するには、パッチのインストール、アンインストール、除外 を行う権限のあるロールが付与されている必要があります。詳細については、次を参照してください:WatchGuard Cloud 管理ユーザーとロールを管理する

  1. WatchGuard Cloud で、監視 > Endpoint の順に選択します。
  2. ステータス > Patch Management の順に選択します。
  3. 利用可能なパッチ タイルで、利用可能なすべてのパッチを表示 をクリックします。
    利用可能なパッチ リストが開きます。

    Screen shot of Available Patches list

  4. フィルタ をクリックして、リストをフィルタリングし、インストールするパッチを表示します (たとえば、オペレーティング システム、コンピュータの種類、パッチの種類、インストール オプション、重要度、インストールの状態、プログラム ベンダーなどでフィルタリング)。
  5. 結果で、インストールするコンピュータとパッチのチェックボックスを選択します。
    パッチのインストールのテスト コンピュータとして指定されているコンピュータの横に アイコンが表示されます。
  6. ツール バーで以下を実行します。
    • パッチを直ちにインストールするには、インストール をクリックします。表示されたダイアログ ボックスで、パッチをインストール をクリックします。
      Patch Management により、パッチのインストール タスクが追加され、直ちにタスクが開始されます。
    • 特定の時間にパッチをインストールするには、インストールをスケジュール をクリックします。表示されたダイアログ ボックスで、インストールをスケジュール をクリックします。
      タスクの編集 ページが開きます。次の手順に従います:スケジュールされたパッチのインストール タスクを構成
  1. WatchGuard Cloud で、構成 > Endpoint の順に選択します。
  2. コンピュータ を選択します。
    コンピュータ ページが開きます。
  3. 左ペインで、自分の組織フォルダ アイコン 自分の組織 を選択します。
  4. パッチをインストールするコンピュータまたはグループを選択します。
    パッチのインストールのテスト コンピュータとして指定されているコンピュータの横に アイコンが表示されます。
  5. コンピュータまたはグループのオプション メニュー オプション アイコン で、パッチのインストールをスケジュール を選択します。
    タスクの編集 ページが開きます。次の手順に従います:スケジュールされたパッチのインストール タスクを構成
  1. WatchGuard Cloud で、構成 > Endpoint の順に選択します。
  2. タスク を選択します。
    タスク ページが開きます。
  3. タスクを追加 をクリックします。
  4. パッチをインストール を選択します。
    新しいタスク ページが開きます。
  5. 次の手順に従います:スケジュールされたパッチのインストール タスクを構成

スケジュールされたパッチのインストール タスクを構成

スケジュールされたパッチのインストール タスクを追加したら、タスクを構成して公開する必要があります。

スケジュールされたパッチのインストール タスクを構成するには、以下の手順を実行します。

  1. 新しいタスク または タスクの編集 ページの 名前 テキスト ボックスに、タスクの名前を入力します。

    Screen shot of the New Task page

  2. 説明 テキスト ボックスに、タスクの説明を入力します。
  3. タスクを開始する時期を指定します。
    • 直ちにタスクを開始する場合は、できるだけ早く チェックボックスを選択します。
    • 特定の日時にタスクを開始する場合は、日付と時間を選択します。
    • 検出コンピュータの時刻に基づいて時間を指定する場合は、コンピュータのローカル時刻 チェックボックスを選択します。
      このチェックボックスが選択されていないと、WatchGuard サーバーに基づく時間となります。
  4. (Subscriber のみ) スケジュールされた時刻にコンピュータの電源が切れていた場合は、オプションを選択してタスクを実行するタイミングを指定します。
  5. 頻度 ドロップダウン リストから、タスクを実行する頻度 (1 回限り、毎日、毎週、毎月) を選択します。
    • 毎週 を選択した場合は、毎週タスクを実行する曜日を指定します。
    • 毎月 を選択した場合は、毎月タスクを実行する曜日または日付を指定します。
  6. インストールする セキュリティ パッチ の重要度を選択します (重大、高、中、低、未指定)

    Screen shot of the New Task page Criticality settings

  7. セキュリティ関連以外のパッチをインストールするには、その他のパッチ (セキュリティ関連以外) を有効にします。
    このカテゴリには、Mac および Linux コンピュータのバグ修正と機能拡張のパッチが含まれています。
  8. サービス パックをインストールするには、サービス パック を有効にします。
    Windows Service Pack は、Mac または Linux のコンピュータやデバイスには適用されません。
  9. パッチをインストールするオペレーティング システムと製品を指定するには、以下の製品でパッチをインストールする セクションで、特定のオペレーティング システム、ソフトウェア ベンダー、ソフトウェア製品、およびパッチの横にあるチェック ボックスを選択または選択解除します。すべての利用可能なパッチをインストールするには、すべて チェックボックスを選択します。

    Screen shot of New Task page product settings.

macOS を選択すると、Mac コンピュータのパッチを含めるかどうかを確認する警告メッセージが表示されます。一部の macOS パッチでは、コンピュータが自動的に再起動されます (_SoftwareUpdate.pkg)。開いているファイルがあれば、すべてを保存してから閉じることが勧められます。

Mac コンピュータのパッチでは、ユーザーがボリューム所有者のユーザー名とパスワードを入力する必要があります。これには、Intel Mac コンピュータは含まれません。Mac コンピュータのパッチ インストール タスクに認証情報が不要なパッチが含まれている場合は、パッチのインストールが続行されます。

  1. 再起動オプション セクションで、パッチのインストール後にコンピュータが自動的に再起動されるようにするかどうかを指定するオプションを選択します。自動的に再起動しない を選択すると、ユーザーに対してコンピュータの再起動が必要である旨のメッセージが表示され、すぐに再起動するか後で再起動するかを選択できます。
  2. 再起動を延期 ドロップダウン リストから、Patch Management によって再起動が強制されるまでの許容時間を選択します (最小 5 分〜最大 7 日間)。
  3. 右上隅にある 保存 をクリックします。
  4. タスクを選択して、それに受信者を割り当てます。
    1. 受信者 テキスト ボックスにコンピュータを追加するには、受信者をクリックする、または 受信者が選択されていません をクリックします。
      受信者ページが開きます。
    2. コンピュータ グループとコンピュータを追加するには、以下を実行します。

      1. 選択されているグループのテスト コンピュータにのみタスクを割り当てるには、テスト コンピュータでのみタスクを実行する を有効化します。このオプションは既定では無効化されています。このオプションを有効化しないと、テスト コンピュータだけでなく、他すべてのコンピュータでタスクが実行されます。テスト コンピュータを特定する方法については、次を参照してください:Patch Management の設定を構成する

      2. 追加アイコン をクリックします。
      3. 追加するコンピュータ グループまたはコンピュータを選択します。
      4. 追加 をクリックします。
  5. 戻る をクリックします。
  6. 保存 をクリックします。
  7. タスクを発行します。詳細については、次を参照してください:タスクを発行する

パッチをアンインストール

Linux および Mac のパッチはアンインストールすることができません。

ソフトウェア ベンダーが公開しているパッチが正しく動作せず、問題が発生することがあります。WatchGuard Patch Management を使用すれば、インストールしたパッチをアンインストール (ロール バック) することが可能です。

インストールされているパッチをアンインストールできるのは、そのパッチがアンインストール機能に対応している場合のみです。ソフトウェア ベンダーによってパッチのアンインストールが許可されていない場合、インストールされたパッチの詳細 ページには アンインストール不可のパッチ というテキストが表示され、パッチをアンインストールすることはできません。

アンインストールしたパッチは、利用可能なパッチ リストに再び表示され、スケジュールされたパッチ インストール タスクが実行されると再インストールされます。特定のパッチを今後コンピュータにインストールしないようにするには、そのパッチを除外します。詳細については、次を参照してください:パッチを除外する

ネットワーク全体にパッチをインストールする前に、少数のコンピュータでパッチをテストすることが勧められます。パッチのインストールのテスト コンピュータとしてコンピュータを指定することができます。詳細については、次を参照してください:Patch Management の設定を構成する

パッチをアンインストールするには、以下の手順を実行します。

  1. WatchGuard Cloud で、構成 > Endpoint の順に選択します。
  2. ステータス > Patch Management の順に選択します。
    Patch Management ダッシュボードが開きます。
  3. 利用可能なパッチ タイルまたは 前回のパッチ インストール タスク タイルで、インストール履歴を表示 をクリックします。
    インストール履歴リストが開きます。

    Screen shot of Installation History page

  4. アンインストールするパッチの行をクリックします。
    インストール済みパッチの詳細ページが開きます。

    Screen shot of Patch Installed page

  5. パッチをアンインストール をクリックできる場合は、これをクリックします。
    パッチをアンインストール ダイアログ ボックスが開きます。

    Screen shot of Uninstall Patch dialog box

  6. 選択したコンピュータからパッチをアンインストールするか、ネットワークにあるすべてのコンピュータからパッチをアンインストールするかを指定するために、オプションを選択します。
  7. パッチをアンインストール をクリックします。
    Patch Management で、パッチをアンインストールするタスクが作成されます。

アンインストールに再起動が必要な場合は、コンピュータを再起動することを求めるプロンプトがユーザーに表示されます。

インストール タスクの結果を確認

パッチのインストール タスクまたはアンインストール タスクを実行した後に、その結果を確認することができます。

関連するオペレーティング システムを実行している Endpoint のみにタスクが送信され、受信先として表示されます。

インストール タスクの結果を確認するには、以下の手順を実行します。

  1. WatchGuard Cloud で、構成 > Endpoint の順に選択します。
  2. タスク を選択します。
    タスク ページが開きます。
  3. インストール タスクまたはアンインストール タスクの行で、結果の表示 をクリックします。
    タスクの結果ページが開き、各コンピュータのタスクのステータスが表示されます。

Screen shot of task results in Endpoint Security

インストールの状態の値

タスクの結果テーブルには、以下のステータス値が含まれている場合があります。

  • 保留中 — タスクが起動されておらず、アクションが必要な状態です。インストール履歴リストから、保留中のタスクを選択して、結果と対応するエラー (存在する場合) を確認することができます。詳細については、次を参照してください:インストール履歴を表示Patch Management のインストール エラー
  • 進行中 — タスクが実行中の状態です。
  • 完了 — タスクが正常に終了している状態です。
  • 失敗 — タスクが失敗し、エラーが返された状態です。
  • キャンセル済み (スケジュールされた時間にタスクを開始できなかった) — タスクの開始が設定されていた時点、または指定された期間中に、ターゲット コンピュータにアクセスできなかった状態です。
  • キャンセル済み — タスクが手動でキャンセルされた状態です。
  • キャンセル済み (最大実行時間超過) — 設定されいる最大実行時間が超過したために、タスクが自動的にキャンセルされた状態です。

インストール履歴を表示

インストール履歴リストには、特定期間中に Patch Management によってインストールされたパッチとインストールの試行が実行されたパッチの詳細が表示されます。

インストール履歴を表示するには、以下の手順を実行します。

  1. WatchGuard Cloud で、構成 > Endpoint の順に選択します。
  2. ステータス > Patch Management の順に選択します。
    Patch Management ダッシュボードが開きます。
  3. 利用可能なパッチ タイルまたは 前回のパッチ インストール タスク タイルで、インストール履歴を表示 をクリックします。
    インストール履歴リストが開きます。

    Screen shot of Installation History page

  4. インストール履歴リストをフィルタリングするには、フィルタ をクリックします。

    • 日付 — 結果を表示する期間として、過去 24 時間、7 日間、1 ヵ月間のいずれかを選択します。
    • プラットフォーム — リストのフィルタリングの条件となるオペレーティング システムのプラットフォームを選択します。
    • コンピュータの種類 — リストのフィルタリングの条件となるそれぞれの Endpoint の種類のチェックボックスを選択します (例:ワークステーション、ノートパソコン、サーバー)。
    • コンピュータ、プログラム、パッチ — リストをフィルタリングするコンピュータ、プログラム、またはパッチの名前を入力します。
    • レジスタ — リストをフィルタリングした際に、パッチのインストール試行を すべて表示 するか、最後のインストール試行のみを表示 するかを選択します。
    • 重要度 — リストのフィルタリングの条件となるパッチ重要度のチェックボックスを選択します (例:重要、高、中、サービス パック)。
    • インストール — リストのフィルタリングの条件となるインストールの状態のチェックボックスを選択します (例:インストール済み、再起動が必要、ダウンロード エラー、インストール エラー)。再起動が必要となっているステータスでは、再起動後にコンピュータにパッチが正常にインストールされると、テーブルが動的にインストール済みに更新されます。
    • CVE — パッチの CVE ID を入力します (例:CVE-2018-2790)。

  5. フィルタ をクリックします。

  6. インストール列に、インストールの状態が表示されます。インストール済みのパッチを確認するには、コンピュータの行で オプション アイコン をクリックして、コンピュータにインストールされたパッチを表示 を選択します。

  7. 同じパッチがインストールされているすべてのコンピュータを表示するには、コンピュータの行で、オプション アイコン をクリックして、パッチがインストールされたコンピュータを表示 を選択します。

  8. インストール履歴の .CSV ファイルをエクスポートするには、 をクリックします。

    • エクスポート を選択すると、テーブルの情報が .CSV ファイルにエクスポートされます。

    • 拡張エクスポート を選択すると、テーブルの情報のほかに、タスクに関する情報 (名前、起動日、開始日、終了日) および最新のインストール試行が .CSV ファイルにエクスポートされます。

関連トピック

Patch Management について

パッチを手動でダウンロードする

パッチを除外する

キャッシュ コンピュータを指定する (Windows コンピュータ)