• AWS Systems Manager CloudWatch ダッシュボードは、2026 年 4 月 30 日以降は利用できなくなります。お客様は、これまでと同様に Amazon CloudWatch コンソールを使用して、Amazon CloudWatch ダッシュボードの表示、作成、管理を継続できます。詳細については、「[Amazon CloudWatch ダッシュボードのドキュメント](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)」を参照してください。
# AWS Systems Manager Patch Manager
AWS Systems Manager のツールである Patch Manager は、セキュリティ関連の更新およびその他の種類の更新の両方を使用してマネージドノードにパッチを適用するプロセスを自動化します。
**注記**
Systems Manager は、AWS Systems Manager のツールである Quick Setup で*パッチポリシー*をサポートしています。パッチポリシーの使用は、パッチ適用オペレーションの設定向けに推奨される方法です。1 つのパッチポリシー設定を使用して、組織内のすべてのリージョンにおける全アカウント、選択したアカウントとリージョンのみ、または 1 つのアカウントとリージョンのペアにパッチを定義できます。詳細については、「[Quick Setup でのパッチポリシー設定](patch-manager-policies.md)」を参照してください。
Patch Manager を使用すると、オペレーティングシステムとアプリケーションの両方にパッチを適用することができます。(Windows Server では、アプリケーションのサポートは、Microsoft がリリースしたアプリケーションの更新に制限されています)。Patch Manager を使用して、Windows ノードにサービスパックをインストールしたり、Linux ノードでマイナーバージョンのアップグレードを実行したりすることができます。オペレーティングシステムのタイプ別に、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのフリート、エッジデバイス、オンプレミスサーバー、および仮想マシン (VM) にパッチを適用できます。「[Patch Manager の前提条件](patch-manager-prerequisites.md)」に記載されているように、これにはサポートされているバージョンのオペレーティングシステムが複数含まれます。インスタンスをスキャンし、見つからないパッチのレポートのみを表示できます。または、すべての見つからないパッチをスキャンして自動的にインストールできます。Patch Manager の使用を開始するには、[Systems Manager コンソール](https://console.aws.amazon.com//systems-manager/patch-manager)を開きます。ナビゲーションペインで、**[Patch Manager]** を選択します。
AWS では、Patch Manager で公開する前にパッチをテストしません。また、Patch Manager では、Windows Server 2016~Windows Server 2019、Red Hat Enterprise Linux (RHEL) 7.0~RHEL 8.0 などのオペレーティングシステムのメジャーバージョンのアップグレードはサポートされていません。
パッチの重要度を報告する Linux ベースタイプのオペレーティングシステムの場合、Patch Manager は更新通知または個々のパッチのために、ソフトウェア発行者によって報告された重要度レベルを使用します。Patch Manager では、CVSS ([共通脆弱性評価システム](https://www.first.org/cvss/)) のような サードパーティのソースからの、または NVD ([National Vulnerability Database](https://nvd.nist.gov/vuln)) がリリースしたメトリクスからの重要度レベルは取得しません。
## Patch Manager はどのように組織にとってメリットになりますか?
Patch Manager は、セキュリティ関連の更新およびその他の種類の更新の両方を使用してマネージドノードにパッチを適用するプロセスを自動化します。これにはいくつかの主な利点があります。
+ **一元化されたパッチ適用コントロール** – パッチポリシーを使用して、組織内のすべてのリージョン、特定のアカウントとリージョン、または単一のアカウントとリージョンのペアのすべてのアカウントに対して、定期的なパッチ適用オペレーションを設定できます。
+ **フレキシブルなパッチ操作** - スキャンするインスタンスを選択し、検出されなかったパッチのレポートのみを表示できます。または、すべての検出されないパッチをスキャンして自動的にインストールできます。
+ **包括的なコンプライアンスレポート** – スキャン操作後、パッチコンプライアンスに違反しているマネージドノードと不足しているパッチに関する詳細情報を表示できます。
+ **クロスプラットフォームサポート** – Patch Manager は、さまざまな Linux ディストリビューション、macOS、Windows Server など、複数のオペレーティングシステムをサポートしています。
+ **カスタムパッチベースライン** – インストールが承認されるパッチを指定するカスタムパッチベースラインを使用して、組織のパッチコンプライアンスを構成する内容を定義できます。
+ **他の AWS サービスとの統合** – Patch Manager は AWS Organizations、AWS Security Hub CSPM、AWS CloudTrail、および AWS Config と統合され、管理とセキュリティを強化します。
+ **確定的なアップグレード** – Amazon Linux 2023 など、オペレーティングシステム用のバージョン管理されたリポジトリによる確定的なアップグレードのサポート。
## Patch Manager はどのようなユーザーに適していますか?
Patch Manager は、以下のユーザー向けに設計されています。
+ マネージドノードのフリート全体でパッチコンプライアンスを維持する必要がある IT 管理者
+ インフラストラクチャ全体のパッチコンプライアンスステータスを可視化する必要があるオペレーションマネージャー
+ 自動パッチ適用ソリューションを大規模に実装したいクラウドアーキテクト
+ パッチ適用を運用ワークフローに統合する必要がある DevOps エンジニア
+ 一元化されたパッチ管理を必要とするマルチアカウント/マルチリージョンのデプロイを行う組織
+ AWS マネージドノード、エッジデバイス、オンプレミスサーバー、仮想マシンのセキュリティ体制と運用状態を維持する責任者
## Patch Manager の主な特徴は何ですか?
Patch Manager には、いくつかの主要な機能があります。
+ **パッチポリシー** – AWS Organizations との統合を通じて単一のポリシーを使用して、複数の AWS アカウント およびリージョンにまたがるパッチ適用オペレーションを設定します。
+ **カスタムパッチベースライン** – リリースから数日以内にパッチを自動承認するためのルールと、承認および拒否されたパッチリストを定義します。
+ **複数のパッチ適用方法** – 特定のニーズに合わせて、パッチポリシー、メンテナンスウィンドウ、またはオンデマンドの「今すぐパッチ適用」オペレーションから選択します。
+ **コンプライアンスレポート** – CSV 形式で Amazon S3 バケットに送信できるパッチコンプライアンスステータスに関する詳細なレポートを生成します。
+ **クロスプラットフォームサポート** – Windows Server 全体でオペレーティングシステムとアプリケーションの両方に、さまざまな Linux ディストリビューション、および macOS にパッチを適用します。
+ **スケジューリングの柔軟性** – カスタム CRON 式または Rate 式を使用してパッチをスキャンしてインストールするためのさまざまなスケジュールを設定します。
+ **ライフサイクルフック** – Systems Manager ドキュメントを使用して、パッチ適用操作の前後にカスタムスクリプトを実行します。
+ **セキュリティの焦点** – デフォルトでは、Patch Manager は利用可能なすべてのパッチをインストールするのではなく、セキュリティ関連の更新に焦点を当てています。
+ **Rate コントロール** – パッチ適用オペレーションの同時実行数とエラーのしきい値を設定して、オペレーションへの影響を最小限に抑えます。
## Patch Manager におけるコンプライアンスとは。
Systems Manager フリート内のマネージドノードの *パッチコンプライアンス* を構成するもののベンチマークは、AWS、オペレーティングシステム (OS) ベンダー、またはセキュリティコンサルティング会社などのサードパーティーによって定義されていません。
代わりに、*パッチベースライン* の組織またはアカウントのマネージドノードに対するパッチコンプライアンスの意味を定義します。パッチベースラインは、マネージドノードにパッチをインストールする必要があるルールを指定する構成です。パッチベースラインで指定した承認基準を満たすすべてのパッチが最新である場合、マネージドノードはパッチに準拠します。
パッチベースラインに *準拠* しているからといって、マネージドノードが必ずしも *安全* であるとは限らないことに注意してください。準拠とは、パッチベースラインで定義された、*使用可能* で、かつ *承認済み* のパッチがノードにインストールされていることを意味します。マネージドノードの全体的なセキュリティは、Patch Manager の範囲外の多くの要因によって決まります。詳細については、「[AWS Systems Manager でのセキュリティ](security.md)」を参照してください。
各パッチベースラインは、Red Hat Enterprise Linux (RHEL)、macOS、または Windows Server など、サポートされている特定のオペレーティングシステム (OS) タイプの構成です。パッチベースラインは、サポートされているすべてのバージョンの OS のパッチ適用ルールを定義することも、RHEL 7.8 および RHEL 9.3 など、指定したもののみに制限することもできます。
パッチベースラインでは、特定の分類と重要度レベルのすべてのパッチのインストールが承認されるように指定できます。例えば、`Security` として分類されるすべてのパッチを含みますが、`Bugfix` や `Enhancement` などの他の分類を除外することもできます。また、重要度が `Critical` のすべてのパッチを含み、`Important` や `Moderate` などの他のパッチを除外することもできます。
また、Windows Server に `KB2736693`、または Amazon Linux 2023 (AL2023)に `dbus.x86_64:1:1.12.28-1.amzn2023.0.1` など、承認または拒否する特定のパッチのリストに IDs を追加することで、パッチベースラインでパッチを明示的に定義することもできます。オプションで、パッチが利用可能になってからパッチ適用を待機する特定の日数を指定できます。Linux および macOS では、パッチベースラインルールで定義されているパッチの代わりに、コンプライアンス用のパッチの外部リスト (Install Override リスト) を指定するオプションがあります。
パッチ適用オペレーションを実行すると、Patch Manager はマネージドノードに現在適用されているパッチとパッチベースライン、または Install Override リストで設定されたルールに従い適用する必要があるパッチを比較します。マネージドノードに不足しているパッチのレポートのみを表示する Patch Manager (`Scan` オペレーション) か、不足しているパッチをすべて自動的にインストールする Patch Manager (`Scan and install` オペレーション) を選択できます。
**注記**
パッチコンプライアンスデータは、最後に成功したパッチ適用オペレーションからのポイントインタイムスナップショットを表します。各コンプライアンスレポートには、コンプライアンスステータスが計算されたときを識別するキャプチャ時間が含まれています。コンプライアンスデータを確認するときは、キャプチャ時間を考慮して、オペレーションが予期した通りに実行されたかどうかを判断します。
Patch Manager は、パッチ適用オペレーションに使用できる事前定義されたパッチベースラインを提供します。ただし、これらの事前定義された設定は、推奨されるベストプラクティスではなく、例として提供されています。フリートのパッチコンプライアンスを構成するものをより細かく制御するために、独自のカスタムパッチベースラインを作成することをお勧めします。
パッチベースラインに関する詳細は、以下のトピックを参照してください。
+ [事前定義されたパッチベースラインおよびカスタムパッチベースライン](patch-manager-predefined-and-custom-patch-baselines.md)
+ [承認されたパッチと拒否されたパッチのリストのパッケージ名の形式](patch-manager-approved-rejected-package-name-formats.md)
+ [AWS の定義済みパッチベースラインの表示](patch-manager-view-predefined-patch-baselines.md)
+ [カスタムパッチベースラインの操作](patch-manager-manage-patch-baselines.md)
+ [パッチコンプライアンスレポートの使用](patch-manager-compliance-reports.md)
## プライマリコンポーネント
Patch Manager ツールを使用開始する前に、ツールのパッチ適用オペレーションの主なコンポーネントと機能を理解しておく必要があります。
**パッチベースライン**
承認および拒否されたパッチのオプションリストに加え、Patch Manager は*パッチベースライン*を使用します。これにはリリースから数日以内にパッチを自動承認するためのルールが含まれます。パッチ適用オペレーションを実行すると、Patch Manager はマネージドノードに現在適用されているパッチとパッチベースラインで設定されたルールに従い適用する必要があるパッチを比較します。マネージドノードに不足しているパッチのレポートのみを表示する Patch Manager (`Scan` オペレーション) か、不足しているパッチをすべて自動的にインストールする Patch Manager (`Scan and install` オペレーション) を選択できます。
**パッチ適用オペレーションメソッド**
現在、Patch Manager で `Scan` および `Scan and install` オペレーションを実行する場合、次の 4 つのメソッドがあります。
+ **(推奨) Quick Setup で設定されるパッチポリシー** — AWS Organizations との統合に基づいて、1 つのパッチ定義ポリシーで組織全体 (複数の AWS アカウントおよびそれらが運用されているすべての AWS リージョンを含む) のパッチ定義スケジュールおよびパッチベースラインを定義できます。また、組織内の一部の組織単位 (OU) のみにパッチポリシーを適用することもできます。1 つのパッチポリシーを使用して、さまざまなスケジュールでスキャンおよびインストールを実行できます。詳細については、「[Quick Setup パッチポリシーを使用して組織内のインスタンスのためにパッチ適用を設定する](quick-setup-patch-manager.md)」および「[Quick Setup でのパッチポリシー設定](patch-manager-policies.md)」を参照してください。
+ **Quick Setup で設定されるホスト管理オプション** — AWS Organizations との統合によりホスト管理設定もサポートされるため、最大で組織全体に対してパッチ適用オペレーションを実行できます。ただしこのオプションでできるのは、現在のデフォルトのパッチベースラインを使用して不足しているパッチをスキャンし、結果をコンプライアンスレポートで提供することに限られます。このオペレーションメソッドでパッチをインストールすることはできません。詳細については、「[Quick Setup を使用して Amazon EC2 ホスト管理を設定する](quick-setup-host-management.md)」を参照してください。
+ **パッチの `Scan` または `Install` タスクを実行するためのメンテナンスウィンドウ** — Maintenance Windows という Systems Manager ツールで設定できるメンテナンスウィンドウでは、定義したスケジュールに従いさまざまなタイプのタスクを実行するように設定を行えます。Run Command タイプのタスクを使用すると、`Scan` または `Scan and install` タスク、選択したマネージドノードのセットを実行できます。メンテナンスウィンドウの各タスクでは、AWS アカウント と AWS リージョン の 1 つのペアでのみマネージドノードをターゲットにできます。詳細については、「[チュートリアル: コンソールを使用してパッチ用メンテナンスウィンドウを作成する](maintenance-window-tutorial-patching.md)」を参照してください。
+ Patch Manager での**オンデマンドの**[今すぐパッチ適用]**オペレーション** — **[Patch now]** (今すぐパッチ適用) オプションを使用すると、マネージドノードにできるだけ早くパッチ適用する必要がある場合に、スケジュール設定をバイパスすることができます。**[Patch now]** (今すぐパッチ適用) を使用して、`Scan` または `Scan and install` オペレーションを実行するか、どのマネージドノードでオペレーションを実行するかを指定します。また、パッチ適用オペレーション中に、Systems Manager ドキュメント (SSM ドキュメント) をライフサイクルフックとして実行することもできます。**[Patch now]** (今すぐパッチ適用) の各オペレーションでは、AWS アカウントと AWS リージョンの 1 つのペアでのみマネージドノードノードをターゲットにできます。詳細については、「[マネージドノードへのオンデマンド パッチ適用](patch-manager-patch-now-on-demand.md)」を参照してください。
**コンプライアンスレポート**
`Scan` オペレーションの後、Systems Manager コンソールを使用して、パッチのコンプライアンス違反であるマネージドノード、およびこれらの各ノードで不足しているパッチについての情報を確認できます。任意の Amazon Simple Storage Service (Amazon S3) バケットに送信する .csv 形式のパッチコンプライアンスレポートを生成することもできます。1 回限りのレポートを生成することも、定期的なスケジュールでレポートを生成することもできます。単一マネージドノードの場合、レポートにはノードのすべてのパッチの詳細が含まれます。すべてのマネージドノードに関するレポートでは、欠けているパッチの数についての概要のみが提供されます。レポートが生成されたら、Amazon Quick などのツールを使用してデータをインポートおよび分析できます。詳細については、「[パッチコンプライアンスレポートの使用](patch-manager-compliance-reports.md)」を参照してください。
**注記**
パッチポリシーを使用して生成されたコンプライアンス項目の実行タイプは、`PatchPolicy` です。パッチポリシーのオペレーションで生成されないコンプライアンス項目の実行タイプは、`Command` です。
**統合**
Patch Manager は、以下のような他の AWS のサービス サービスと統合します。
+ **AWS Identity and Access Management (IAM)** — IAM を使用して、Patch Manager オペレーションにアクセスできるユーザー、グループ、ロールを制御できます。詳細については、「[AWS Systems Manager と IAM の連携方法](security_iam_service-with-iam.md)」および「[Systems Manager に必要なインスタンスのアクセス許可を設定する](setup-instance-permissions.md)」を参照してください。
+ **AWS CloudTrail** — CloudTrail を使用して、ユーザー、ロール、またはグループによって開始された監査可能なパッチ適用オペレーションのイベント履歴を記録できます。詳細については、「[AWS CloudTrail による AWS Systems Manager API コールのログ記録](monitoring-cloudtrail-logs.md)」を参照してください。
+ **AWS Security Hub CSPM** — Patch Manager からのパッチコンプライアンスデータを AWS Security Hub CSPM に送信できます。Security Hub CSPM では、高優先度のセキュリティアラートとコンプライアンス状況を包括的に確認できます。また、フリートのパッチ適用状況も監視できます。詳細については、「[Patch Managerと AWS Security Hub CSPM の統合](patch-manager-security-hub-integration.md)」を参照してください。
+ **AWS Config** — Amazon EC2 インスタンスの管理データを Patch Manager ダッシュボードに表示するように AWS Config の記録を設定できます。詳細については、「[パッチダッシュボードの概要の表示](patch-manager-view-dashboard-summaries.md)」を参照してください。
**Topics**
+ [Patch Manager はどのように組織にとってメリットになりますか?](#how-can-patch-manager-benefit-my-organization)
+ [Patch Manager はどのようなユーザーに適していますか?](#who-should-use-patch-manager)
+ [Patch Manager の主な特徴は何ですか?](#what-are-the-main-features-of-patch-manager)
+ [Patch Manager におけるコンプライアンスとは。](#patch-manager-definition-of-compliance)
+ [プライマリコンポーネント](#primary-components)
+ [Quick Setup でのパッチポリシー設定](patch-manager-policies.md)
+ [Patch Manager の前提条件](patch-manager-prerequisites.md)
+ [Patch Managerの動作の仕組み](patch-manager-patching-operations.md)
+ [マネージドノードへのパッチ適用のための SSM コマンドドキュメント](patch-manager-ssm-documents.md)
+ [パッチベースライン](patch-manager-patch-baselines.md)
+ [Amazon Linux 2 マネージドノードで Kernel Live Patching を使用](patch-manager-kernel-live-patching.md)
+ [コンソールを使用した Patch Manager リソースとコンプライアンスの操作](patch-manager-console.md)
+ [AWS CLI を使用して Patch Manager リソースを操作する](patch-manager-cli-commands.md)
+ [AWS Systems Manager Patch Manager のチュートリアル](patch-manager-tutorials.md)
+ [Patch Manager のトラブルシューティング](patch-manager-troubleshooting.md)