12.0 パッチ管理

パッチ管理を使用すると、ソフトウェアパッチを自動的に一貫して適用して脆弱性および問題を最小限にすることができます。

パッチ管理は、ZENworks Patch Subscription Serviceと定期的にインターネットで通信することにより最新パッチとフィックスで常に最新に保たれます。最初の60日間の評価期間後も、引き続き最新の脆弱性およびパッチ情報を毎日ダウンロードするには有料のサブスクリプションが必要になります。

新しいパッチがサブスクリプションサービスから利用可能になると、ZENworksサーバは、そのパッチに関する情報をダウンロードします。パッチはデバイスに展開するか、またはパッチを破棄することもできます。

パッチ管理を使用すると、パッチがZENworksサーバにダウンロードされ、パッチスキャンが実行された後で、ゾーン内の脆弱なデバイスを特定することができます。ただし、パッチで対処される脆弱性を簡単に特定することはできません。パッチで対処される脆弱性を特定するには、[パッチの詳細]ウィンドウを表示するか、検索を実行可能なCVE IDを知っている必要があります。ただし、セキュリティ機能の一環として、ZENworksでは新しいセキュリティビューを提供し、ゾーン内のセキュリティの設定および追跡を簡素化します。脆弱性ベースのビューと修復アプローチを使用し、デバイスのセキュリティ状態を迅速に把握することができます。CVE情報に基づいてパッチを特定し、関連するパッチ修復ポリシーまたはバンドルを適用して脆弱なデバイスを修復することができます。ZENworksでこれらの脆弱性を特定するプロセスは次のとおりです。

  1. 管理者はNVDリポジトリからデータをインポートするために、CVEサブスクリプションを作成して実行します。

  2. 管理者はパッチコンテンツリポジトリからデータをインポートするために、パッチサブスクリプションを作成して実行します。

    CVEサブスクリプションとパッチサブスクリプションが実行されると、設定されたZENworksサーバにCVEおよびパッチがインポートされます。

  3. ZENworksは、パッチ署名に関連付けられたCVE IDに基づいて、パッチをCVEにマップします。

    デバイス更新の一環としてデバイスでパッチスキャンを実行すると、脆弱なデバイスが特定されます。ユーザは、パッチスキャンスケジュールを設定したり、要件に基づいてパッチスキャンの開始クイックタスクを手動で実行したりすることもできます。

  4. 適用可能なパッチが、パッチポリシーまたは修復バンドルのいずれかを使用して脆弱なデバイスに展開されます。

CVEパッチのすべてがデバイスにインストールされると、デバイスは脆弱ではなくなります。

以降のセクションでは、CVEおよびパッチ管理機能を使用して、古いソフトウェアまたはパッチ未適用ソフトウェアで発生する可能性のある脆弱性および問題を特定する方法について説明します。