脆弱性対応 Patch Orchestration Integration with Microsoft SCCM の概要

  • リリースバージョン: Zurich
  • 更新日 2025年09月05日
  • 所要時間:9分

    • Microsoft System Center Configuration Manager (SCCM) 製品と 脆弱性対応 の統合により、資産の重大な脆弱性に対するパッチとパッチの展開を管理します。

    脆弱性対応 を使用したパッチオーケストレーション

    脆弱性対応 を使用したパッチオーケストレーションでは、サードパーティのソリューション統合、パッチベンダー、および脆弱性スキャナーからのスケジュール済みインポートが使用されます。スキャナー検出データは、環境内の資産を脆弱性とそれらを修正できるパッチ更新と照合します。承認のためにパッチ要求を送信し、脆弱性一致アイテムを解決するためのパッチ更新をスケジュールし、修復の進捗状況すべてを ServiceNow AI Platform® インスタンスから監視します。

    脆弱性対応 Patch Orchestration with Microsoft SCCM

    Vulnerability Response Patch Orchestration with the Microsoft SCCM アプリケーションを ServiceNow® 脆弱性ソリューション管理、パッチオーケストレーション、および 脆弱性対応 アプリケーションと併用すると、脆弱性マネージャーとアナリストは次のタスクを実行できます。
    • パッチのタイプとベンダーのソリューション (パッチ) に関する詳細なコンテキストと情報を表示します。
    • 脆弱性対応 ワークスペースのレコードから、脆弱性とソリューションのデータ、および脆弱性の修復の進捗状況を表示および監視します。

    IT スペシャリストと修復オーナーは、次のタスクを実行できます。

    • Windows、CentOS、macOSOracle、およびその他の資産に対して、Microsoft SCCM 製品でサポートされているパッチを営業時間外に定期的に展開し、作業の競合を回避します。
    • 脆弱性がある未パッチ資産、またはサードパーティスキャナーからインポートされた検出データから、パッチスケジュールによって正常に更新されなかった資産を特定します。
    • IT 修復ワークスペースまたはクラシック UI から、パッチ更新、修復タスク、および検出されたアイテムレコードからパッチが適用されていない脆弱な資産に対して利用可能なパッチをスケジュールします。

    脆弱性対応 および Microsoft SCCM アプリケーションで使用される主要な用語

    構成アイテム (CI)
    CI は、構成管理データベース (CMDB) にリストされている既存の資産です。Microsoft SCCM は CI (デバイス) を呼び出します。
    コレクションとデバイスコレクション
    資産のグループを指す Microsoft SCCM 製品で使用される用語。
    脆弱性一致アイテム
    CMDB 内の既存の資産と一致するインポートされた脆弱性。
    インスタンス
    Microsoft SCCM アプリケーションの個別のアカウント。各ユーザーアカウントは、Microsoft SCCM アプリケーションのインスタンスにすることができます。この用語は、ServiceNow AI Platform インスタンスの一意の安全な Web アドレスを意味します。
    統合
    統合とは、Microsoft SCCM マシンとの統合など、サードパーティのソースから情報を取得する ServiceNow AI Platform のスケジュール済みジョブです。
    ソリューション
    この統合のコンテキストには、潜在的と優先の 2 つのタイプのソリューションがあります。潜在的なソリューションは、脆弱性に対処する可能性があるソリューションです。脆弱性には多くの潜在的なソリューションがあります。優先ソリューションは、検出された特定の脆弱性に対して最も効果的なソリューションと一致します。
    パッチ
    脆弱性を修正するソフトウェア更新。Microsoft SCCM アプリケーションでは、パッチはパッチと呼ばれます。たとえば、Microsoft SCCM には Windows、CentOS、MAC、Oracle、およびその他の製品用のパッチがあります。
    優先パッチ
    優先パッチは、特定の脆弱性を修正することを目的としたソフトウェア更新です。パッチが展開されると、特定の脆弱性に関連する脆弱性一致アイテムにマッピングされ、それらを修正します。
    修復タスク、または 脆弱性対応 の v15.0 より前の脆弱性グループ
    脆弱性を修正するために必要なアクションの 脆弱性対応 アプリケーション内の脆弱性一致アイテムのリスト。
    展開
    この統合における展開とは、マシンにパッチを適用、開始、またはスケジュールする場合を指します。Microsoft SCCM からダウンロードしたパッチを ServiceNow AI Platform に展開するには、脆弱性対応 の個々のレコードから検出されたアイテム、パッチ、または修復タスクに移動します。スケジュール済みジョブを含むパッチを個々のマシンまたはコンピューターグループに展開できます。

    ServiceNow AI Platform での展開は、マルチソースをサポートする統合を指す場合もあります。単一の統合の存在は、統合の展開と呼ばれます。展開とは、環境全体の統合と製品のことです。たとえば、お使いの環境に Microsoft SCCM 脆弱性統合を複数展開する場合があります。

    脆弱性ソリューション管理 および 脆弱性対応 Patch Orchestration Integration with Microsoft SCCM

    脆弱性ソリューション管理 アプリケーションは、脆弱性の検出結果とそれらを修正するソリューション (パッチ) のブレークダウンを関連付ける ServiceNow AI Platform アプリケーションです。組織に最も大きな影響を与える製品やサービス、構成の更新、およびその他のコントロールに対するサードパーティからのソフトウェアパッチを特定します。サードパーティのスキャナー情報とともに、脆弱性対応のソリューション管理脆弱性対応、および Vulnerability Response Patch Orchestration with Microsoft SCCM アプリケーションを連携して、ソリューションから脆弱性、脆弱性一致アイテムに優先パッチをロールアップして、使用している環境で脆弱性を修正してクローズすることができます。脆弱性対応のソリューション管理脆弱性対応、および 脆弱性対応 Patch Orchestration Microsoft SCCM Integration アプリケーションはすべて ServiceNow® Store で入手可能です。

    必要な ServiceNow AI Platform ロール

    統合のインストール、構成、および修復タスクには、ServiceNow AI Platform インスタンスで次のロールが必要です。

    admin
    このロールを持つユーザーは、ServiceNow Store のアプリケーションのエンタイトルメントを取得し、ServiceNow AI Platform のインスタンスにダウンロードします。
    sn_vul.vulnerability_admin
    このロールを持つユーザーは、ServiceNow AI Platform インスタンスでアプリケーションをアクティブ化し、脆弱性対応 アプリケーションの構成を完了します。このロールは、脆弱性対応 (VR) アプリケーションとそのレコードに完全にアクセスできます。このアドミンユーザーは、すべての VR アプリケーション、ルール、およびサードパーティ統合を設定します。
    sn_vul_sccm.configure_integration
    このロールを持つユーザーは、Microsoft SCCM Patch Orchestration Integration アプリケーションを構成します。このロールには、sn_vul_sccm.read_integration の詳細なロールが含まれています。
    sn_vul_sccm.read_integration
    このロールを持つユーザーは、脆弱性対応 のレコードと、Microsoft SCCM Patch Orchestration Integration アプリケーションおよびパッチオーケストレーションデータを表示できます (読み取り専用)。
    sn_vul_patch_orch.configure_patch
    このロールを持つユーザーは、パッチを設定して適用することができます。
    sn_vul_patch_orch.read_patch
    このロールを持つユーザーは、パッチ情報を表示できます (読み取り専用)。
    承認者
    展開する前に、送信されたパッチ要求を承認する場合は、承認者レベル 1 と承認者レベル 2 の承認者グループにユーザーをアサインします。

    セットアップアシスタントを使用したこのロールの割り当ての詳細については、「セットアップアシスタントを使用した 脆弱性対応 ペルソナロールのアサイン」を参照してください。

    CI ルックアップルール

    データが Microsoft SCCM アプリケーションからインポートされると、脆弱性対応 アプリケーションがリソース ID データを使用して 構成管理データベース (CMDB) 内の一致を自動的に検索します。CI ルックアップルールは、CI (資産) を識別し、VI の作成時にそれらを脆弱性一致アイテム (VI) レコードに追加する際に使用されます。次の CI ルックアップルールはベースシステムに付属しており、CI (資産) を識別して、検出されたアイテムに追加する際に使用されます。

    このルックアップルールは、Service Graph Connector with SCCM によって取り込まれたデータに依存しています。SCCM 統合を実行する前に、CMDB 統合をインストールして実行する必要があります。SCCM サーバーが複数インストールされている場合は、[SCCM パッチオーケストレーション構成] ページでサービスグラフコネクタ 接続エイリアスを構成できます。

    MID サーバー

    Vulnerability Response Patch Orchestration with Microsoft SCCM はオンプレミスの統合です。MID サーバークラスターに含まれていないスタンドアロン Windows MID サーバーが必要です。MID サーバーは、SCCM サーバーからデータをインポートするために、インスタンスからリモートマシンでスクリプトを実行する必要があります。この統合用の API は、ServiceNow AI Platform インスタンスで設定した MID サーバーを使用して呼び出されます。脆弱性対応 Patch Orchestration Integration with Microsoft SCCM の準備