【AWS】SSMパッチマネージャーを利用してWindows OSを管理する_パッチ適用編

はじめに

前回の記事では、AWS Systems Manager（SSM）のパッチマネージャーを利用してWindowsサーバのパッチ状態をスキャンする方法をご紹介しました。今回はその続編として、スキャン結果を基にWindowsサーバにパッチを適用する手順を紹介します。

パッチの適用は、システムのセキュリティや安定性を保つ上で非常に重要な作業です。本記事では初心者の方向けに、シンプルな操作方法でパッチを適用する流れをご説明します。

パッチ適用について

パッチ適用は、スキャン結果で検出された未適用のパッチをEC2インスタンスにインストールするプロセスです。この作業を通じて、システムの脆弱性を修正し、安定性を向上させることができます。

SSMパッチマネージャーでは、手動での適用やスケジュール設定による自動適用が可能です。まずは手動適用で基本を押さえ、その後、環境に合った自動化を検討するのがおすすめです。

前提

パッチ適用には以下の条件が満たされている必要があります。
・Windowsインスタンスが起動中: 適用対象となるWindowsサーバーが正常に稼働していること。
・SSMエージェントがインストール済み: WindowsインスタンスにはSSMエージェントが既にインストールされています（ほとんどの公式AMIにはプリインストール済みです）。
・IAMロールの適切な付与: EC2インスタンスにSSM関連のIAMロールがアタッチされていること。
・インターネット接続: インスタンスがNAT GatewayやInternet Gateway経由でインターネットアクセス可能であること。
・スキャンが完了: SSMパッチマネージャーでスキャン済みであること。
詳細な前提条件については、AWS公式のこちらを参考にいただければと思います。

パッチ適用手順

以下の手順でWindowsサーバにパッチを適用します。

1. パッチマネージャーにアクセスする

AWSマネジメントコンソールにログインし、「Systems Manager」>「パッチマネージャー」に移動します。

2. スキャン結果を確認する

「コンプライアンスレポート」タブをクリックします。スキャン結果一覧が表示されます。今回パッチ適用対象となるインスタンスがあること、
「非準拠」と表示されていることを確認します。

3. パッチ適用を開始する
「今すぐパッチ適用」をクリックします。

パッチ適用の設定項目が表示されますので、適宜設定項目を入力していきます。
パッチ適用操作：スキャンとインストール
再起動オプション：必要に応じて再起動する
今回はテストというともあり必要に応じて再起動する設定としましたが、本番環境などでサーバ停止が困難な場合は慎重に検討しましょう。

パッチ適用するインスタンスを手動で選択していきます。
パッチを適用するインスタンス：指定したターゲットインスタンスにのみパッチを適用する
ターゲットの選択：インスタンスを手動で選択
マネージドインスタンス：対象のEC2インスタンスにチェックを入れる

ログの保存設定します。
パッチ適用のログを残したい場合は、適宜S3バケットを指定します。
この設定はオプションですので指定しなくても構いません。

以上で基本的な設定は終わりです。
最下段までスクロールし、「今すぐパッチ適用」をクリックします。

これでパッチ適用タスクが作成され、指定されたインスタンスにパッチ適用が開始されます。以下の画像のようにステータスは「保留中」となります。
パッチの内容にもよりますが、適用までに数十分かかると思います。

ちなみに、裏ではSSM RunCommandが連携して動作しています。
SSM左メニュー > RunCommandを開くと
RunCommandが「進行中」という形で表示されます。

適用結果の確認

適用が完了したら、結果を確認しましょう。
パッチマネージャーのステータスは「成功」に変化しています。

RunCommandの画面でも「成功」と表示されますね。

1.SSMコンソールで確認

SSMコンソール > パッチマネージャー >「コンプライアンスレポート」タブを再度確認します。ステータスが「準拠」に変更されていれば適用が成功しています。

2.S3バケットのログを確認

ログ保存の設定をした場合、指定したS3バケットに適用ログが出力されます。出力されたログをダウンロードし、適用状況やエラー情報を確認します。特に失敗時には、このログがトラブルシューティングに役立ちます。以下の画像ようにログが出力されます。今回は「Success」となっていることが分かりますね。

注意点

• 適用前にバックアップを取得する: パッチ適用はシステムの動作に影響を与える場合があります。事前にバックアップを取得し、復元手順を確認しておきましょう。

• テスト環境での適用: 本番環境に適用する前に、テスト環境で適用結果を確認してください。これによりリスクを最小限に抑えることができます。

• スケジュール設定: メンテナンスウィンドウなどを利用すると適切な時間帯にパッチを適用することで、業務影響を回避できます。

まとめ

今回の記事では、SSMパッチマネージャーを利用したWindowsサーバーへのパッチ適用手順を解説しました。適用作業はシステムの安定性とセキュリティを保つために重要です。
まずは今回の手動適用を実践し、自社環境に適用のプロセスを組み込んでみるのはいかがでしょう。ある程度慣れてきたら、定期的な自動化の設定など検討していくのもおすすめです。

参考

AWS Systems Manager Patch Manager - AWS Systems Manager

関連記事