AzureとOffice 365のセキュリティ、MS ゆりか先生が教えます

【第18回】仮想マシンの管理を楽にする「Azure Update Management」

企業IT環境では、適用する更新プログラムのバージョンをコントロールしながら、膨大な数の仮想マシン(VM：Virtual Machine)へのパッチ適用を管理していく必要があります。しかし、更新の管理には多くの工数がかかるのが、管理者の悩みの種です。そんなとき、AzureおよびオンプレミスのVMを管理するサービス「Azure Update Management」を利用することで、容易に管理を行うことができます。

今回は、このAzure Update Managementの使い方をご紹介しましょう。

オンプレミス／Azure両方のVMを一元管理

Azure Update ManagementはAzure Automation機能の1つで、Azureサブスクリプションの一部として提供されるサービスです。Azure Update Management自体に利用料金は発生しませんが、ログを保存するAzure Log Analyticsサービスのデータの料金などは必要になります。

このAzure Update Managementを利用することで、オンプレミスおよびAzure環境に存在するVMを、Azureポータルで一元管理することができます。VMの更新状態を評価したり、更新プログラムの適用状況をしたり、更新プログラム適用のスケジュールを実行したりと、さまざまな更新の管理が可能です。

管理対象としては、オンプレミス／Azure両方のVMを設定できるほか、Windowsだけではなく、CentOS 6 Red Hat Enterprise SUSE Linux Enterprise Ubuntuも対象となるので、統合的な管理が可能となっています。機能を有効にするには、Azureポータルの「Virtual Machines」のメニューで、有効にするVMを選択後、「サービス」→「更新の管理」をクリックします。

「Virtual Machines」のメニューで「サービス」→「更新の管理」をクリック

開かれた「更新の管理」画面で、「有効化」ボタンをクリック

適用状況の確認

管理対象の仮想マシンにおける更新プログラムの適用状況は、Azure Update Managementの管理画面で一元表示されます。全体表示の画面では、更新プログラムが適用されていないVMに警告が表示されるほか、更新プログラムの分類ごとにわかりやすく表示されるため、常に状態を把握することができます。

もし何か問題があった場合は、該当するVMをクリックすると、どの更新プログラムが適用されていないのか、どのようなステータスであるのかといった詳細を確認可能です。

「更新プログラムの管理」画面

対象の更新プログラムを細かく指定することも可能

企業IT環境では、更新プログラムを大規模に展開する前に、特定の端末のみに展開し、問題の有無を検証するケースもあります。Azure Update Managementでは、展開する更新プログラムをリスト化し、適用する更新プログラムを細かく指定することが可能です。また、更新プログラムをインストール後に、特定のタスクを実行するよう構成することもできます。

これにより、例えば、更新プログラムをインストールする前に、特定のサービスを停止したり、バックアップを取得したりといったことが可能です。タスクを指定するスクリプトについては、サンプルが公開されています。詳細は、Microsoft Azureのドキュメントをご覧ください。

更新プログラムの指定が可能

クラウドならではのスピード感

更新プログラムの適用管理は、IT管理のなかでも特に工数のかかる作業の1つです。Azure Update managementは、自動的な展開とわかりやすい適用状況確認で、少ない工数で効率良く管理することが可能になっています。また、「こんな機能があればより便利」というユーザーのフィードバックをUserVoice(英語)などから受け付けており、要望の多い機能はすぐにリリースされるため、日々機能が進化しています。こういったところは、クラウドならではのメリットです。

著者紹介

垣内 由梨香
マイクロソフト株式会社 セキュリティ レスポンス チーム セキュリティ プログラム マネージャー

マイクロソフト株式会社に入社以来、Active Directory, Network, 証明書および暗号化を専門としたWindows エンジニアを経て現職。セキュリティの意識向上活動、インシデント対応に従事。CRYPTREC委員。