Patch Management の設定を構成する

適用対象： WatchGuard Patch Management。 本トピックは、WatchGuard Endpoint Security モジュール、Patch Management に適用されます。パッチ管理は、WatchGuard EPDR 、WatchGuard EDR、および WatchGuard EPP で使用可能です。

Patch Management の設定プロファイルでは、WatchGuard Patch Management が新しいパッチとソフトウェア更新を検索するタイミング、および Patch Management 理で検索するパッチの種類を指定する設定を構成できます。また、コンピュータの Windows Update を無効にすることもできます。

Screen shot of Patch Management settings for a Subscriber account

以下の Patch Management の設定を構成することができます。

コンピュータの Windows Update を無効にする

Patch Management が Windows コンピュータ上の更新を管理していることを確認するには、パス管理設定プロファイルで、コンピュータの Windows Update を無効にする を選択します。

このオプションを有効にすると、ネットワーク上のコンピュータの更新は、Patch Management が専属で管理するようになります。ローカルの Windows Update 設定は使用されません。

Windows 10 以降を実行しているデバイスの場合は、オペレーティング システムで品質の更新を延期することはできますが、無効化することはできません。コンピュータの Windows Update を無効化する が選択されている場合も、こうした更新は 30 日後に適用されます。

パッチを自動的に検索する

Patch Management で利用可能なパッチを自動的に検索するには、パッチを自動的に検索する を有効にします。このオプションが有効になっていないと、Patch Management に欠落しているパッチが表示されませんが、パッチのインストール タスクを使用してコンピュータに不足しているパッチをインストールすることはできます。

パッチのインストール (Subscriber のみ)

設定プロファイルを割り当てる際に、グループに入っているデバイスにパッチをインストールするかどうかを指定します。グループのコンピュータを、パッチのインストールのテスト コンピュータとして指定することもできます。

検索頻度

コンピュータに不足しているパッチをチェックするために、Patch Management でクラウドベースのパッチ データベースを検索する頻度を指定します。

不足しているパッチは、1 時間、3 時間、6 時間、12 時間ごと、または 1 日に 1 回検索することができます。頻度を変更すると、不足しているパッチのリストが自動的に更新されます。

パッチの重大度

Patch Management で検索するセキュリティ パッチの重要度 (または重大度)、およびその他のセキュリティ関連以外のパッチやサービス パックを検索するかどうかを指定します。その他のパッチ カテゴリには、macOS および Linux のバグ修正や機能拡張が実装されたパッチが含まれています。

脆弱性に対処するために提供されるセキュリティ パッチの重要度は、ソフトウェア ベンダーによって定義されています。パッチの分類不変的はものではなく、ベンダーによって異なります。

パッチをインストールするかどうかを判断する際、特にベンダーが「重大」に分類していないパッチの場合は、その説明を確認することをお勧めします。

管理ユーザーのロールに応じて、WatchGuard Cloud で表示および実行できる内容が異なります。この機能を表示または構成するには、パッチ管理の設定 を行う権限のあるロールが付与されている必要があります。詳細については、次を参照してください：WatchGuard Cloud 管理ユーザーとロールを管理する。

Patch Management の設定を構成するには、以下の手順を実行します:

1. WatchGuard Cloud で、構成 > Endpoint の順に選択します。
2. 設定 を選択します。
3. 左ペインで、パッチ管理 を選択します。
   
4. 編集する既存のセキュリティ設定プロファイルを選択する、既存のプロファイルをコピーする、またはウィンドウの右上隅にある 追加 をクリックして新しいプロファイルを作成します。
   設定の追加または設定の編集 ページが開きます。

   

5. 必要に応じて、プロファイルの 名前 と 説明 を入力します。
6. Patch Management がコンピュータ上の Windows Update を管理していることを確認するには、コンピュータの Windows Update を無効にする トグルを有効にします。
7. パッチが自動的に検索されるようにするには、パッチを自動的に検索する を有効化します。
8. (Subscriber のみ) パッチをインストールする時期とインストール先を指定します。パッチのインストール ドロップダウン リストから、以下のオプションのいずれかを選択します。
   • パッチをインストール — 割り当てられているグループのデバイスにパッチが自動的に適用されます。
   • テスト コンピュータとして指定して、パッチをインストールする — 割り当てられているグループのデバイスをテスト コンピュータとして指定することが可能です。パッチ インストール タスクをスケジュールする際に、選択したグループのテスト コンピュータにのみタスクを割り当てることができます。詳細については、次を参照してください：コンピュータをパッチのインストールのテスト コンピュータとして指定する。
   • パッチをインストールしない — 割り当てられているグループのデバイスにパッチが適用されません。
9. パッチを検索する頻度を指定するには、検索頻度 ドロップダウン リストで頻度を選択します。
10. 検索するパッチを指定するには、パッチの重大度 セクションで、さまざまな種類の セキュリティ パッチ、その他のパッチ、および サービス パック のトグルを有効または無効にします。
    その他のパッチ カテゴリには、macOS および Linux のバグ修正や機能拡張が実装されたパッチが含まれています。
11. 保存 をクリックします。
12. 必要に応じて、プロファイルを選択して、受信者を割り当てます。
    詳細については、次を参照してください：設定プロファイルを割り当てる。

複数の設定プロファイルでパッチのインストールを管理する

Service Provider が単一の Endpoint Security 管理 UI を使用して複数の管理対象アカウントのセキュリティを管理している場合、管理対象アカウントの中に Patch Management が割り当てられているアカウントと割り当てられていないアカウントが存在する可能性があります。Patch Management がインストールされていないコンピュータに Service Provider からパッチ インストール タスクが送信されないようにするために、異なるパッチ インストール設定プロファイルを作成します。

Patch Management を構成して、コンピュータにパッチをインストールするかしないかを設定するには、以下の手順を実行します。

1. Subscriber アカウントで、Patch Management ライセンスが割り当てられているコンピュータの設定プロファイルを作成します。
   1. 設定プロファイルで、パッチをインストール ドロップダウン リストから、パッチのインストール を選択します。
   2. ライセンスが割り当てられているコンピュータに設定プロファイルを割り当てます。
2. Patch Management ライセンスが割り当てられていないクライアント コンピュータの設定プロファイルを別に作成します。
   1. 設定プロファイルで、パッチをインストール ドロップダウン リストから、パッチをインストールしない を選択します。
   2. ライセンスが割り当てられていないコンピュータに設定プロファイルを割り当てます。
3. Service Provider アカウントで、パッチ インストール タスクを作成し、Patch Management ライセンスが割り当てられているコンピュータと Patch Management ライセンスが割り当てられていないコンピュータにそのタスクを割り当てます。詳細については、次を参照してください：マルチテナント管理 — タスクを管理する。

コンピュータをパッチのインストールのテスト コンピュータとして指定する

テスト コンピュータを使用して、ネットワークにある他のコンピュータにパッチをインストールする前に、パッチのインストール結果を検証することができます。テスト コンピュータにパッチをインストールするプロセスには 2 つの手順が必要です。まず、Patch Management 設定プロファイルを使用して、コンピュータをテスト コンピュータとして指定します。次に、テスト コンピュータでのみ実行されるパッチのインストール スケジュール タスクを作成します。

テスト コンピュータにのみパッチがインストールされるように Patch Management を構成するには、以下の手順を実行します。

1. Subscriber アカウントで、Patch Management 設定プロファイルを作成します。
   1. 設定プロファイルで、パッチをインストール ドロップダウン リストから、テスト コンピュータとして指定して、パッチをインストールする を選択します。
   2. テスト コンピュータとして指定するコンピュータに設定プロファイルを割り当てます。
2. Subscriber アカウントまたは Service Provider アカウントで、パッチのインストール タスクを作成します。
   1. タスクを受信者に割り当てます。
   2. テスト コンピュータでのみタスクを実行する を有効化します。
• Subscriber アカウントで、トグルを有効化します。



• Service Provider アカウントで、次の種類のコンピュータでのみタスクを実行する をクリックして、はい を選択します。

このオプションはデフォルト設定では無効になっています。このオプションを有効化しないと、テスト コンピュータだけでなく、他すべてのコンピュータでタスクが実行されます。

関連トピック

Patch Management について

設定を管理する

パッチをインストールする