未パッチのソフトウェアは、侵害の約60%の原因となっています。さらに、AIモデルが悪用可能な脆弱性を発見するスピードは、多くのチームが修復できるスピードを上回るほど向上しており、脆弱性の公開から悪用までの時間は急速に短くなっています。
最新のIru Demo Dayでは、Head of WindowsのLance CrandallがPrincipal Solutions EngineerのRyan Slaterとともに、IruがITチームによるWindowsフリート全体の脆弱性の検出、パッチ適用、管理をどのように支援するのかを紹介し、参加者からの質問にリアルタイムで回答しました。
既知の脆弱性にパッチを適用するまでの平均期間は、100日から120日の間とされています。ITチームは懸命に取り組んでいますが、すべてのデバイス上のすべてのアプリケーションを把握し続けることを専任業務としている人はほとんどいません。多くの組織では、ニュースで取り上げられたものだけにパッチを適用し、それ以外は放置されがちです。
変化しているのは、新しい脆弱性が表面化するスピードです。AIモデルはすでに、本番環境のソフトウェアに存在する悪用可能な弱点を特定できるようになっています。今年初め、Claude Opus 4.6はわずか2週間でFirefoxの22件の脆弱性を発見しました。こうしたツールは今後さらに強力になっていきます。2年前には有効だった手動のパッチ適用ワークフローでは、もはや対応しきれなくなるでしょう。
Iruは、Appleのモバイルデバイス管理(MDM)としてスタートしました。その後、プラットフォームはMac向けのEDR、脆弱性管理、脆弱性対応へと拡張されました。お客様は、1つの場所からデバイスを管理し保護できることの価値を実感し、WindowsやAndroidでも同じ機能を求めるようになりました。
昨年、Iruはそれを実現しました。現在ではWindowsとAndroidのデバイス管理がプラットフォームで利用可能となり、チームはフリート全体を単一のコンソールで管理できるようになっています。このバーチャルイベントでは、クロスプラットフォームへの投資が特に効果を発揮する3つの領域、すなわち脆弱性の検出、アプリケーションのパッチ適用、OSアップデート管理に焦点を当てました。
Iruの脆弱性管理は、登録済みのすべてのデバイスに存在するCVEを、MacとWindowsの両方にわたって優先順位付きで管理者に表示します。プラットフォームは、各デバイスから完全なアプリケーションインベントリを取得します。MDM経由で展開されたアプリだけでなく、インストールされているすべてのアプリが対象です。そのうえで、インストール済みソフトウェアを既知の脆弱性と照合し、深刻度に基づいてランク付けし、影響を受けるデバイスを表示します。
任意のCVEについて、管理者は重要度スコア、その脆弱性が実際に悪用されているかどうか、影響を受けるデバイスの一覧、推奨される修復方法を確認できます。個別のデバイスビューでは、同じ情報を逆方向から確認できます。特定のデバイスを掘り下げ、どのアプリケーションに脆弱性があり、その深刻度がどの程度なのかを確認できます。
Auto Apps: 負荷をかけずにパッチを適用
実際に修復を行う段階で、多くのチームは行き詰まります。従来のワークフローでは、インストーラを探し、ダウンロードし、再パッケージ化し、サイレントインストール用のフラグを確認し、MDMにアップロードする必要があります。さらに、アップデートがあるたびにこの作業を繰り返さなければならず、時間がかかるうえに壊れやすいプロセスです。
IruのAuto Appsは、よく展開される200以上のWindowsアプリケーションについて、こうした負荷を取り除きます。Firefox、Chrome、Zoom、Slackなどの各アプリは、事前にパッケージ化されたライブラリアイテムとして用意されており、数クリックで展開できます。
重要な機能は、アップデートの自動適用です。アプリケーションの新しいバージョンがリリースされると、Iruは数分以内にデバイスへ配信できます。アプリケーションが開いている場合は、設定可能な猶予期間付きで、ユーザにアプリを閉じるよう促します。適用期限が過ぎると、アプリは強制終了され、アップデートが完了します。これにより、管理者は予測可能な修復期間を確保できます。
新しいAuto Appsは定期的に追加されており、チームは特定のアプリケーションをカタログに追加するようリクエストできます。
その他すべてに対応するCustom Apps
社内で開発されたソフトウェアや、Auto Appsカタログでカバーされていないアプリについては、IruのCustom App Library Itemがそのギャップを埋めます。管理者は、インストーラ(MSI、EXE、またはPowerShellスクリプト)を含むZIPファイルをアップロードし、検出ロジック、インストールコマンド、適用期限を設定できます。
PowerShellオプションは特に柔軟です。インストール前のクリーンアップ、インストール後の設定、ライセンスキーの投入が必要な場合でも、スクリプトで一連の処理をすべて実行できます。また、Auto Appsを支える適用期限と実行中アプリの検出ロジックは、ここでも同様に適用されます。対象アプリケーションが実行中の場合、ユーザにアプリを閉じるよう促し、期限を過ぎるとアップデートが強制的に実行されます。
アプリケーションのパッチ適用に加えて、LanceはIruがWindows OSアップデートをどのように処理するかについても説明しました。対象となるのは、月次の累積パッチと年次の機能アップデートの両方です。
1つ目は、OSパッチ適用時のエンドユーザ体験を制御するWindows Updateライブラリアイテムです。Iruでは、よく設定される7つの項目について、適切なデフォルト値を設定したうえで表示します。たとえば、アクティブ時間、自動インストールの動作、再起動ポリシーなどです。一方で、Microsoftが提供する40以上の設定項目すべてを、詳細設定の切り替えから利用できるようにしています。これは、Mac側でもIruが採用している「推奨デフォルトを提供しつつ、必要に応じて完全に制御できる」設計思想と同じです。
2つ目は、近日提供予定のManaged OS for Windowsです。これにより管理者は、メジャー機能アップデートと月次パッチの両方について、デバイスがどのOSバージョンであるべきかを定義し、展開リングを使って適用を強制できるようになります。リング0ではITスタッフに初日から適用し、リング1では一定の延期期間を設けたうえで、より広い組織に展開します。問題のあるパッチがリリースされた場合、管理者は適用をすぐに一時停止できます。
Lanceはまた、パッチステータスダッシュボードのプレビューも紹介しました。このダッシュボードでは、デバイス全体のコンプライアンス状況を確認できます。どのデバイスが最新の状態か、どのデバイスが期限を過ぎているか、どのデバイスがエラー状態にあるかを把握できます。パッチを適用できないデバイスについては、ディスク容量不足などの具体的な理由が表示されるため、管理者は推測に頼ることなく、対象を絞った対応を行えます。
Q: Iruは、ゼロタッチのWindows展開向けにAutopilotをサポートしていますか?
Autopilotのサポートは近日提供予定です。利用可能になると、新しいWindowsデバイスは、AppleデバイスにおけるAutomated Device Enrollment(ADE)と同様に、Out-of-Box Experience(OOBE)を通じてIruに自動登録できるようになります。
Q: Auto Appを以前のバージョンにロールバックできますか?
現時点では、Auto Appsはロールバックをサポートしていません。Custom Appsについては、同じライブラリアイテムに複数のバージョンを追加し、検出ロジックによって以前のバージョンへロールバックできる機能を開発中です。それまでは、リングやパイロットグループを使ってアップデートの対象範囲を設定することで、ロールバックの必要性を減らすことができます。
Q: 変更はどのくらいの速さでデバイスに反映されますか?
BitLockerやファイアウォール設定などのポリシーはイベント駆動型で、数分以内にデバイスへ反映されます。Auto Apps、Custom App Library Items、PowerShellを含むアプリケーションやスクリプトは、デバイスがオンラインであれば15分以内にインストールを開始します。
Q: 証明書を使用したエンタープライズWi-Fiポリシーを展開できますか?
はい。Iruは、デバイスごとに固有の証明書を含む、すべてのEAPタイプに対応したエンタープライズWi-Fiをサポートしています。現在の唯一の制限はWPA3で、これはTPMを使用したRSAキー生成に関連するMicrosoft側の制約によるものです。Microsoftがこの問題を解決次第、Iruもサポートを追加する予定です。
Q: 別のMDMに数百台のデバイスがある場合、移行はどのようになりますか?
Iruは、既存のMDMからデバイスをサイレントに登録解除し、Iruへ登録する移行ツールを提供しています。エンドユーザの操作は不要で、デバイス上の管理者権限も必要ありません。このプロセスは多くのお客様に利用されており、好意的なフィードバックをいただいています。
Q: Iruには、Windows向けのLiftoffのようなオンボーディング体験がありますか?
現時点ではありませんが、バックログには含まれています。チームは、MacのLiftoff体験と同様に、登録後にデバイスへ何がインストールされ、どのような設定が行われているのかをエンドユーザに表示する、ガイド付きプロビジョニング画面の価値を認識しています。
Q: IruはいつIntuneと同等の機能を備える予定ですか?
チームのアプローチは、チェックリスト上の比較を追いかけるのではなく、お客様が実際に求めている機能を優先することです。ほとんどの組織が必要とする主要な機能は、今後1〜2四半期で提供される見込みで、その後さらに改善が加えられる予定です。重点を置いているのは、レガシーな機能セットを再現することではなく、実際のお客様のフィードバックに基づいて、将来に向けた製品を構築することです。
単一のプラットフォームからWindowsデバイス環境を保護・管理する方法をご覧になりませんか?デモをリクエストしてください。