連載第3回：Qualys PMモジュールの紹介

こんにちは。脆弱性マネジメントグループの佐藤です。
普段は主に脆弱性管理・対応に関する相談やお悩みや不明点などに対し、「セキュリティのラック」のエンジニアとして適切な案内を提供するテクニカルサポート業務に携わっています。

効率的な脆弱性管理を行うためのQualysモジュールと活用例を紹介する連載の第3回は、「Patch Management（以下、PM）」にフォーカスを当て、その概要や利用までの流れ、便利な機能を紹介します。

第1回の記事ではQualysの基本的な仕組みと導入のメリット、第2回の記事では「CSAM」について紹介していますので、よろしければこちらもご覧ください。

Qualys Patch Managementとは

最近では、サーバだけではなくラップトップPCやクラウドインスタンスなどのエンドポイントまで脆弱性管理の対応範囲が広がっています。インフラ管理者の方々も、日々検出する脆弱性の管理・対応に頭を悩まされているのではないでしょうか。

脆弱性の検出および検出した情報を管理するツールはいくつかありますが、Qualysは新たに確認される脆弱性や情報が更新される脆弱性情報の収集から対応までを一つのプラットフォーム上でワンストップ管理できます。クラウドからエンドポイントまで幅広くカバーし、効率的に対応できる機能を備えている点がQualysの強みです。

PMは、対象の資産で存在が確認された脆弱性を管理し、それらの脆弱性から資産を保護するためのパッチを展開することで、資産を安全な状態であり続けるための包括的なソリューションを提供します。また、パッチ適用を自動化することでインフラ管理者の脆弱性管理に費やす時間と労力を削減できます。

Qualys Patch Managementの導入と仕様

PMの利用開始までの流れと仕様を紹介します。

利用開始までの流れ

PMの利用には、Qualys Vulnerability Management Detection & Response（VMDR）とPMのライセンスが必要です。

※ VMDRにはCloud Agentの利用権が含まれます。

実際に資産に対して脆弱性の修正パッチを適用するまでの全体像を次に記します。

パッチ適用の全体像

• 1.PMライセンスを用意する
• 2.対象の資産にCloud Agentをダウンロード・インストールする
• 3.インストールしたCloud AgentでPMを有効化する
• 4.ジョブ（パッチ適用を行うためのQualys上で作成するタスク）を作成・展開する
• 5.ジョブの展開結果を確認する

Cloud Agent

PMの利用にはCloud Agentが必要です。Cloud AgentはQualysが提供するセキュリティおよびコンプライアンス管理ソリューションの一部です。サーバやラップトップPC、クラウドインスタンスなどといったエンドポイントにインストールして使用します。

対象機器の継続的な監視とリアルタイムのデータ収集により、セキュリティの可視性を向上させ、リスクへの迅速な対応を可能にします。

サポートOSとサポート製品

サポートOS

PMは本稿執筆時点で、WindowsとLinux、Macに対応しています。

サポート製品

WindowsとMacは資産へのパッチ展開がサポートされている製品がQualys社より公開されています。その一例を紹介します。

OS	OS	サポート製品（一例）
Windows	7-Zip、Cisco WebEx Teams、Microsoft .Net、Oracle VM VirtualBox、WinSCP
Mac	Adobe Flash Player PPAPI、Caffeine、Ivanti Test Deploy、Thunderbird、VMware Fusion 10

サポートOSとサポート製品の詳細はQualys社サイトを参照ください。

※ Patch Management and Mitigation Supported Product Versions

Qualys Patch Managementの機能紹介

PMで利用できるパッチ管理のための便利な機能を紹介します。

パッチ管理の機能

スケジュール機能

PMを利用しパッチ適用を行う際は、ジョブを作成します。ジョブとはQualys上で作成するタスクの名称で、パッチ適用を行う（Deployment）、または行ったパッチ適用を取り消す（Rollback）などを実行するためのタスクを指します。このジョブは作成後すぐにオンデマンドで実行・展開できるほか、あらかじめ日時をスケジュールして実行・展開することも可能です。

ジョブをスケジュール設定することでパッチ適用後の機器の再起動など、業務時間中に対応しづらいことも夜間などに自動で実行・展開できます。

※ ジョブの展開にはジョブの「有効化」も必要です。

レポート機能

OS（Windows/Linux/Mac）ごとに、パッチの適用状況やジョブの実行結果をレポートとして出力できます。

出力したレポートはQualysのプラットフォーム上で確認できるほか、CSVで手元にダウンロードすることも可能です。また、レポートは特定のパッチや資産、特定の期間に実行されたジョブなど、対象を絞って出力することもできます。

パッチ一覧確認機能

管理対象端末に関するパッチを一覧で表示・出力できます。

※ 出力はレポート機能を利用します。

一覧上でフィルタリングを行うことで、未適用のパッチと適用済みのパッチを分けて表示することも可能です。また、OSや製品、パッチに紐づくCVE番号などにより追加でフィルタリングを行うこともできます。

リスク軽減のための推奨事項

Qualysが危険性が高いと判断・適用を推奨する未適用パッチを一覧として確認できます。

危険性の高さはCVSSスコアや攻撃可能性、脆弱性の積極的な悪用有無などから、Qualysが自動的に判断します。表示されるパッチ一覧から適用するパッチを選択し、複雑な設定を行うことなくジョブを作成することもできます。

おわりに

ここまでQualysのPMを紹介しました。

冒頭で述べた通り、日々多くの脆弱性が世界中で発見・検出されています。管理すべき脆弱性は増えていく一方ですが、組織がその管理・対応に割り当てることのできるリソースには限度があります。そのため、すべてを人手で対応するのではなく「脆弱性管理ツール」を活用し自動化を組み込むことで、運用負荷を抑えながら脆弱性の悪用リスクを低減させていく形が望ましいでしょう。

脆弱性管理ソリューションのなかでも、情報収集から検出した脆弱性の対応まで、クラウドからエンドポイントまでをワンストップで統合管理できる点で、QualysのPMは優れています。

導入をご検討される際にはぜひ一度ラックの紹介ページをご覧ください。トライアルは紹介ページより随時受け付けています。

参考情報

• Automated Patch Management Software | Qualys Patching Tool.
• Boost Security with Qualys Cloud Agent | Qualys

＊ Qualys、Qualys VMDR^®、およびQualysのロゴはQualys, Inc.の商標または登録商標です。その他すべての製品や名前は、それぞれの会社や組織の商標や登録商標である場合があります。