Windowsパッチ管理ツール「Ivanti Security Controls」「Kaseya VSA」の基礎：「Windows」の主要パッチ管理ツール【第2回】

「Windows」のパッチ管理作業を最適化するには、Microsoft純正の管理ツール以外にもサードパーティー製ツールが選択肢になる。本稿は「Ivanti Security Controls」と「Kaseya VSA」を紹介する。

[R.H. Sheldon，TechTarget]

　「Windows」のパッチ（更新プログラム）管理に使用可能なMicrosoft純正ツールは、第1回の「Microsoft純正パッチ管理『MECM』『WSUS』の基礎　他社製との違いは？」で紹介した。本稿はパッチ管理に使用するサードパーティー製品として「Ivanti Security Controls」（旧「Patch for Windows」）と「Kaseya VSA」を紹介する。

併せて読みたいお薦め記事

「Windows」更新に関するTIPS

• 「Windows 10」の更新でフリーズを起こさないためのテスト方法
• 「Windows 10」の2大更新プログラムとは？　過去のWindowsとの違いは
• Windows 10の更新作業を軽くするTips　ユーザーのストレスを軽減する方法とは

「パッチ管理」のノウハウ

• 無料でパッチ管理ツールを使いこなすためのコツとは
• セキュリティパッチの検証と導入はスピードが命、具体的な進め方は

Ivanti Security Controls

　Ivantiが提供するIvanti Security Controlsは、Windowsを含め幅広いOSや仮想マシン、アプリケーションのパッチ管理ができるツールだ。ハイパーバイザー「VMware ESXi」やWindows系アプリケーションの他、「Red Hat Enterprise Linux」（RHEL）や「CentOS」といったLinuxのディストリビューションも対象にする。さまざまな対象のパッチを単一の管理画面で一元的に管理できる（図2-1）。物理サーバや仮想マシンのスキャン、パッチの診断・適用、パッチ適用のスケジュール作成、管理者権限・アクセス権限の管理などの機能を提供し、適切なセキュリティ対策を講じて運用を簡素化することが可能だ。

図2-1　WindowsやLinux搭載端末のパッチを管理するIvanti Security Controls

　管理者があらかじめ設定したスケジュールに基づいて、Ivanti Security Controlsは定期的なスキャンを繰り返し実行し、欠けているパッチを検出すれば自動的に配布できる。「資産インベントリ」機能でソフトウェアとハードウェアを検出し、それらの状況を追跡する。シャットダウンや再起動など端末の電源管理もできる。1台または複数の端末に対してコマンドラインツール「PowerShell」でスクリプトを実行して、タスクをこなしたり作業を自動化したりすることも可能だ。システム連携の標準的な設計思想である「REST」に準拠したAPI（アプリケーションプログラミングインタフェース）を介して他製品と連携し、リモートコントロールや作業の自動化も実現する。

　Ivanti Security Controlsは管理対象のOSやコンピュータの電源状態、パッチ適用状況、コンプライアンスへの準拠、ハードウェア／ソフトウェアの資産状況など、さまざまな情報をレポートとして生成して提供する。カスタム版のレポートを生成したり、特定のアプリケーションのみの利用を許可するホワイトリストを作成したりすることも可能だ。米国の非営利団体MITREが提供する脆弱（ぜいじゃく）性情報「CVE」（共通脆弱性識別子：Common Vulnerabilities and Exposures）のリストをインポートして、どのパッチがどのCVEに関連しているかを自動的に判断し、結果を表示して参照できるようにする機能もある。

Kaseya VSA

　クラウドサービスとしてKaseyaが提供する構成管理ツールのKaseya VSAは、サーバOS「Windows Server」やクライアントOS版Windows搭載端末に対する、ソフトウェアのインストールやパッチの適用といった管理機能を搭載する（図2-2）。ポリシーに基づいたパッチ管理機能によって、ソフトウェアのメンテナンスの自動化、作業の標準化が可能だ。パッチの承認と拒否、パッチ適用のスケジュール作成、パッチ適用などの他、定期的にLANをスキャンするスケジュールを作成して、端末の分析やソフトウェア更新の自動化ができる。

　Kaseya VSAはインストールや修復を含むパッチ管理業務のための一元化された管理画面を備える。管理者は端末をスキャンして欠落しているパッチを適用したり、パッチ適用状況を確認したり、パッチを拒否したりできる。更新の前後でプロシージャ（複数の処理を1つにまとめたプログラム）を実行できるため、プロシージャを使って新しく追加する端末のセットアップの自動化も可能だ。

　管理対象の端末にパッチを適用する方法として、Kaseya VSAは手動と自動の両方から選択できるようにしている。パッチ適用プロセスのきめ細かいコントロールも可能だ。管理者が「パッチ管理レポート定義」を構成すれば、管理対象のコンプライアンス状況を横断的に確認し、注意が必要な端末やアプリケーションの迅速な特定を支援する。管理者は管理下にある全ての端末のパッチ適用状況を集約し、それぞれがどのCVEに対処する必要があるのかを確認できる。LANのスキャン結果を参照し、適用済みのパッチと欠けているパッチを洗い出すことも可能だ。

図2-2　Kaseya VSAの管理画面

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。