OpsRampの「Patch CVE」機能は、Common Vulnerabilities and Exposures(CVE)データベースに登録された脆弱性を検出し、対応するパッチを自動的に適用するセキュリティ管理ツールです。主にLinux環境(UbuntuとRedHat)向けに設計され、システムの脆弱性リスクを効率的に軽減します。
主要な機能とプロセス
-
脆弱性検出
- 定期的なアセットスキャン: エージェントがインストールされたデバイスで定期的にスキャンを実行し、インストール済みソフトウェアのCVE情報を収集します。
- 外部データ連携: OVALアドバイザリやNVD(National Vulnerability Database)からCVE情報を取得し、既知の脆弱性を特定します。
-
パッチ管理
- 自動承認: 重大度が「Critical」や「Security」のパッチは自動承認され、ホワイトリスト機能で一括管理が可能です。
- 手動承認オプション: 管理者が個別にパッチを審査し、適用範囲を制御できます。
-
パッチ適用と検証
- スケジュール設定: メンテナンス時間帯にパッチ適用をスケジュールし、業務への影響を最小化します。
- 再起動制御: パッチ適用後の再起動を延期するオプションを提供します。
-
可視化とレポーティング
- CVE Insights/Dashboard: 影響を受けるリソースやCVEの重大度を一覧表示し、優先度付けを支援します。
- コンプライアンスレポート: パッチ適用状況を文書化し、監査対応やセキュリティポリシー遵守状況を可視化します。
対応環境と制限事項
- サポートOS: 現時点ではUbuntuとRedHat系Linuxに限定されています。
- 前提条件: エージェントバージョン15.0.0以上が必要で、定期的なアセットスキャンの実施が必須です。
この機能は、パッチ管理プロセスを「検出→承認→適用→検証」の流れで標準化し、人的ミスを削減しながらセキュリティリスクを体系的に管理します。特に自動化機能により、24時間365日のシステム保護を実現しています。