BigFix: Premier Endpoint Patch Solution について

2020/9/4 - 読み終える時間: 4 分

Understanding BigFix: The Premier Endpoint Patch Solution の翻訳版です。


BigFix を理解する:Premier Endpoint Patch Solution

2020年9月3日

著者: Casey Cannady / Enterprise Architect 共著: Cyril Englert / Solution Architect

画像の説明

BigFix は、あらゆる規模や業界の何千もの企業に、エンタープライズ・エンドポイント管理ツールとして選ばれています。実際、BigFix は世界中で何百万ものエンドポイントを管理しており、IT およびセキュリティ運用チームに実質的で具体的な価値を提供しています。BigFix は、効果的なエンドポイントの衛生管理に不可欠な、継続的なパッチ適用と設定のドリフトの排除に優れています。これらの対策が適切に実装され、監視されていれば、侵害の可能性は飛躍的に低下します。なぜ CIO や CISO がエンドポイント環境のセキュリティを BigFix に依存しているのかを理解することは、BigFix が 98%以上の初回合格率を達成している理由を理解する上で非常に重要です。

主な機能 BigFix は、以下のような効果的なパッチ適用をサポートしています。

BigFix のパッチ適用は、以下のプラットフォームの機能と能力に依存しています。

  • 低い CPU 要件 - 通常は2%未満。
  • ネットワーク・スロットリング - 高レイテンシー、低容量のネットワーク回路への影響を管理できます。
  • プリキャッシング - 指定されたメンテナンスウィンドウでパッチ時間を短縮します。
  • クラウドエンドポイントの可視性 - Azure、Google、Amazonで実行されています。
  • 最大25万のエンドポイント - 1台のルートBigFix Enterprise Serverから。
  • 分散型インテリジェンス - 意思決定と計算をインフラストラクチャの上位レベルではなく、エンドポイントに移動します。インテリジェント・エージェントは、ネットワーク帯域幅の消費を抑え、より小さなサーバを必要とする一方で、パッチの展開、構成、および修復を高速化します。
  • 柔軟な配布ポイント - 効果的でありながら低コストのインフラストラクチャを構築する上で、多くの柔軟性を提供します。専用リレーの他にも、多くの組織にとって有用な低コストのオプションがいくつかあります。BigFixバーチャルリレーは、リソースとメンテナンス要件が少なく、導入が簡単です。 非専用リレーは、既存のシステムに BigFix サービスを共同で配置することで、企業全体で BigFix 機能を利用することができます。最後に、BigFix ピアネスト機能により、1つの BigFix エージェントが小規模なオフィスやリモートサイトでサブネットリピーターとして機能することができます。
  • 粒度の高い管理と制御 - BigFix では、パッチがいつ展開され、いつエンドポイントが再起動されるかを粒度の高い制御で制御することができます。多くの組織では、中央のIT部門がパッチの開発、テスト、パッチコンテンツの配布を可能にする分散型パッチ展開プロセスを実装しており、個々のユーザーグループや部門が、指定された時間枠内で都合の良いときにパッチを展開・インストールするタイミングを決定できるようにしています。

BigFix Patch には特定の機能があり、その結果、初回のパッチ成功率が非常に高く、多くの場合、98%以上となっています。ファーストパスの成功率が高いということは、パッチサイクルが短く、修正作業が少なく、安全なエンドポイントのランドスケープが得られることを意味します。

その他のパッチ固有の機能と機能は以下のとおりです。


自動化されたコンテンツ配信

BigFix チームは、オペレーティング・システムやサードパーティ・アプリケーション・ベンダーが提供するコンテンツを使用して Fixlet を作成し、脆弱性の窓を減らします。Fixlets と呼ばれるBigFixコンテンツは、当社のクラウド配信サーバで利用可能になります。BigFix Enterprise Server (BES) は、毎日1回(設定されている場合はそれ以上の頻度で)新しいコンテンツをチェックします。新しいサイトコンテンツは自動的にダウンロードされるため、BigFix はどの Fixlet が関連性のあるものかを判断し、関連性のないコンテンツのための無駄な帯域幅を排除します。

BigFix は、ベンダーからリリースされてから2営業日以内に重要なパッチを配信しますが、通常はもっと早く配信されます。最も重要なパッチが最初に配信されます。サポートされているすべてのトップティアのオペレーティングシステムに対して、コンテンツの自動開発とBigFix環境への配信が行われるため、より迅速な通知と脆弱性へのパッチ適用が可能となり、脆弱性が発生する可能性の窓を減らすことができます。


自動パッチ適用

自動パッチ適用は、パッチ管理者とオペレータが必要とする労力を軽減します。パッチポリシーとスケジュールを定義することで、オペレータはパッチ適用を自動化することができます。例えば、Windows Server のパッチポリシーを設定して、重要なパッチのみを展開し、Windows サーバを対象としたスケジュールと重ね合わせることができます。そのため、BESサーバーが関連するコンテンツをダウンロードするとすぐに、パッチが自動的に展開されます。ポリシーの更新は、1ヶ月ごとに1分以内で完了します。

本番環境の BigFix では、管理者はアルファ、ベータ、本番1のような複数のスケジュールを使用して、計画的なテスト、検証、パッチ展開を行います。これらの自動スケジュールが数日離れている場合、問題のあるパッチが展開されるのを防ぐためにITオペレーションが介入することができます。そうでなければ、パッチは体系的に自動的に展開され、時間と労力を節約することができます。これは、リソースに制約がある中小規模の組織にとって特に重要です。


柔軟なベースライン

BigFix ユーザーは、複数のパッチや設定項目をベースラインにまとめて配信することで、時間と労力を節約できます。また、ベースラインをポリシーにすることもできます。エンドポイントがベースラインの仕様から外れると、BigFix は自動的に内容を再適用します。ベースラインは、より効率的で一貫性のあるセキュリティとパッチ適用の姿勢を実現します。


パッチインストールの検証

市場に出回っている多くのソリューションとは異なり、BigFix は、エンドポイントがパッチを受け取る資格を与えたのと同じ基準を使用して、パッチが正常にインストールされているかどうかを検証します。この信頼できる方法により、パッチが適切にインストールされることが保証されます。既存のパッチソリューションでは、パッチが正常にインストールされていないのに、パッチが正常にインストールされたと誤って報告されていたため、数え切れないほどの組織がBigFixを導入しています。この問題は、ITおよびセキュリティ組織に誤ったセキュリティの感覚を与え、攻撃の脆弱性を増大させています。組織は、エンドポイント管理ソリューションが正確なパッチ状況を正しく報告していることに自信を持つ必要があります。BigFix は、その自信をユーザーに提供します。


ソフトウェアへの依存はありません

BigFix は、問題があり信頼性が低いことが知られているWindows 用の WSUS、WMI、または Active Directory のパッチ適用に依存しません。RedHat Linuxでは、BigFix は Satellite リポジトリまたはネイティブの BigFix コンテンツ・ライブラリのいずれかを使用できる柔軟性を持っています。さらに、BigFix のパッケージング・ウィザードを使用することで、コンテンツをパッケージングするための追加ツールのコストや、障害や問題点の追加を排除することができます。


コンテンツの完全性の確保

チェックサムを使用することで、BigFixインフラストラクチャコンポーネント間でのファイルの安全な転送が保証されます。具体的には、BigFix ではSH1 や SH256 などの SHA (Secure Hashing Algorithms) を採用しています。クラウド配信サーバーからコンテンツがダウンロードされると、BigFix は各ファイルのチェックサムを計算し、ソフトウェアベンダーが公開しているオリジナルのチェックサムと比較します。両方のチェックサムが一致する場合、BigFixはダウンロードされたコンテンツが安全であると判断します。チェックサムが一致しない場合は、データの損失や改ざんを意味し、ファイルが破損している可能性があります。


デプロイメントのロールバック

BigFix を使えば、Windows パッチのロールバックや削除は簡単です。BigFix ロールバックウィザードで Microsoft Knowledge Base (KB) 番号を入力すると、関連する Fixlet が自動的に作成されます。他のオペレーティングシステムやアプリケーションでは、フィックスレット内でベンダが提供するアンインストールタスクを使用して、パッチやソフトウェアデプロイメントをアンインストールするためのフィックスレットを簡単に作成することができます。


インテリジェントな上位互換エンジン

BigFix の代替エンジンは、パッチ管理を簡素化するインテリジェンスを提供します。BigFix は、どのパッチが他のパッチに取って代わられているかを知ることができるため、管理者とパッチ適用ソリューション側の重複や不必要な作業を減らすことができます。BigFix の代替エンジンは、関連するエンドポイントのターゲティングとパッチ適用の効果を向上させます。対照的に、パッチツールの中には、最新のパッチを適用する前に先行するパッチを適用する必要があるものがありますが、これは不必要に労力とパッチの複雑さを増大させます。


BigFix は並外れたビジネス価値を提供

上記の理由により、BigFix は強力で効果的なパッチソリューションであり、セキュリティ侵害の可能性を低減しながら、IT コストと複雑さを軽減することができます。HCL の IT 組織は、すでに大幅なコスト削減を実現しています。BigFix は、いわゆる「無料」のソリューションと競合する場合でも、費用対効果の高いツールです。HCL の BigFix チームは、ビジネス価値評価 (BVA) プロセスを使用してBigFixのビジネスケースを構築するための支援を日常的に行ってきました。この無料の共同作業プロセスは、通常、BigFix が組織に与える影響を評価するのにわずかな時間しか必要としません。

定量化可能なメリットには以下のようなものがあります。

  • ソフトウェアの使用量の削減
  • ITインフラの複雑さとコストを削減
  • エンドポイント情報の品質向上
  • コンプライアンス管理のコスト削減
  • パッチ修復作業の削減
  • ソフトウェアおよびオペレーティング・システムの簡易導入
  • セキュリティリスクの回避
  • データ漏洩コストの削減

BigFix を使用してパッチ管理プロセスを最適化し、コストを削減し、IT の複雑さを軽減し、セキュリティ姿勢を改善した他の人たちの仲間入りをしましょう。詳細は、BigFix.com をご覧ください。

このブログについて

HCL Japan の Software 部門の複数担当者で HCL Software 全般について記しています。