セキュリティパッチとは、公開されているシステムやソフトウェアに発見された不具合を解消するためにベンダーから配布される追加プログラムです。
これを適用せずに放置していると、セキュリティの脆弱性を狙ったサイバー攻撃の標的となってしまい、マルウェアやランサムウェア被害など企業にとって重大なインシデントを招く危険性があります。

Windows OSでは、月例のセキュリティ更新プログラムが提供されており、セキュリティの欠陥を修復したアップデートが毎月第二火曜日にマイクロソフト社から提供されています。

 

Windows OSにおけるセキュリティパッチ

Windows OSのセキュリティパッチには、FUとQUの大きく二種類があります。

また、Windows OSでは2025年10月14日にWindows 10のサポート終了が予定されています。サポート終了後は更新プログラムの配布も停止され、新たに発見された不具合やセキュリティホールへの対策は実施されなくなります。

サポート切れOSを使い続けることは、セキュリティ面で大きなリスクを抱えることになるのです。

セキュリティパッチ未適用による被害状況

警察庁が発表した「令和５年におけるサイバー空間をめぐる脅威の情勢等について」では、企業・団体等におけるランサムウェア被害およびその実態として、「未適用のセキュリティパッチがあった」と回答した企業は60％でした。最新のセキュリティパッチを適用している機器に比べて、被害を受けるリスクが高いことが伺えます。

警察庁：令和５年におけるサイバー空間をめぐる脅威の情勢等についてより引用

また、被害に遭った企業・団体のうち、63％が「情報セキュリティ監査を実施していない」と回答しています。
警察庁：令和５年におけるサイバー空間をめぐる脅威の情勢等についてより引用

これらのデータからも、セキュリティパッチが常に最新に保たれていることを定期的にチェックすることの重要性が伺えます。

 

WindowsOSで更新プログラムの適用状況を確認する方法

ISM CloudOneでは、収集したWindows OSの更新プログラム情報とセキュリティプロファイルをマッチさせてWindowsOSに潜む脆弱性を可視化する機能（OSセキュリティ更新プログラム診断）を搭載しております。

今回は、ISM CloudOneを使って更新プログラムの適用状況を確認する方法と、セキュリティ監査報告書の記載例をご紹介します。

 

【1】事前に必要なポリシー設定

まず、事前に必要なポリシー設定をご説明します。ISM CloudOneコンソールの上部ナビゲーションバーの歯車アイコンから設定します。

基本ポリシー＞PC診断＞OSセキュリティ更新プログラム診断方法の選択と診断除外期間、是正アクションの設定を行います。

• 診断方法選択
  WSUSを利用していない場合は、「ソフトウェアプロファイル（辞書）で診断する」を選択します。
• 診断除外期間設定
  OSセキュリティ更新プログラムのリリース日を基に、診断対象から除外する期間を設定します。端末への適用がリリース日を超過しても、期間内は診断対象から除外されます。
• 是正アクション設定
  診断結果がNGのクライアントに対し、是正アクションを設定することが可能です。更新プログラムの取得先や、更新手順マニュアルのリンクを設定することで端末所有者側で是正処置を行うことができます。

 

【2】OS脆弱性の可視化

ISM Cloudoneコンソールのダッシュボードの「OSセキュリティ更新プログラム診断（Windows）」でOS脆弱性の有無を確認できます。

ダッシュボードではOS脆弱性のほか、OS別台数やインベントリ収集状況、各種ソフトウェアバージョンを視覚的に分かりやすく確認することができます。

オレンジ部分は最新の更新プログラムが未適用端末の割合です。マウスオーバーで件数が表示されます。

「詳細へ」をクリックし、「OSセキュリティ更新プログラム診断NGリスト」へ移動します。

この一覧に表示されているクライアントに対して是正処置を行います。
是正処置には便利な２つの機能をご活用いただけます。

①端末所有者自身が実施する・・・是正アクションの利用
②管理者が支援して実施する・・・メッセージ通知

 

【3】端末所有者自身が実施：是正アクションの利用

診断結果NGの端末では、是正アクション機能を利用できます。
※事前に「基本ポリシー＞PC診断＞OSセキュリティ更新プログラム」内の是正アクション設定の登録が必要です。

是正アクションは上記のように表示されます。

※A～Cに設定した表示名が表示されます。
※タスクトレイ内のISM CloudOneアイコンを右クリックし、「セキュリティ脆弱性診断結果通知」より確認できます。

 

【4】管理者が支援して実施：メッセージ通知

端末所有者が是正アクションを実施できない、管理者のサポートが必要となる場合はメッセージ通知を送信することも可能です。

「OSセキュリティ更新プログラム診断NGリスト」から、メッセージを送信したい対象端末を選択して右上メニューから「メッセージ通知」をクリックします。

メッセージ通知のウィンドウが表示されるので、送信したい内容を記載し、「送信」ボタンをクリックします。

対象端末に、メッセージがデスクトップ通知されます。タスクトレイ内のISM Cloudoneアイコンを右クリックしてメッセージ一覧へ移動し、内容を確認することができます。

【5】定期監査でセキュリティを強化

今回ご紹介した運用手順で、以下のようなセキュリティ監査報告書を作成することができます。診断結果がNGとなった端末数をパッチ区分ごとにまとめています。

フォーム登録後、ダウンロードサイトの「ISM CloudOneご契約者様向け資料」からダウンロードいただけます。

 

今回は、ISM CloudOneを活用した更新プログラムの適用状況を確認する方法をご紹介しました。ISM CloudOneでは、今回ご紹介した機能のほか、管理端末へのソフトウェア配信や遠隔からのリモート操作が出来る機能もご用意しております。ご興味のある方はぜひそちらもご確認ください。