Amazon QuickSightとSystems Managerで実現するエンタープライズ向けパッチ管理ダッシュボード

益子 竜与志
益子 竜与志
XThreads
本日公開 エンジニアブログ
最終更新日:2026年04月30日公開日:2026年04月30日

大規模なAWS環境でのパッチ適用状況やサーバーインベントリの把握は、セキュリティ管理の要です。AWS Systems ManagerとAmazon QuickSightを組み合わせることで、自然言語プロンプトだけで高度なコンプライアンスダッシュボードを数分で構築できます。本記事では、そのアーキテクチャと実装手順を詳しく解説します。

エンタープライズ環境でのパッチ管理が抱える課題

クラウド移行が進む現代の企業IT環境では、数百から数千台規模のサーバーを管理することは珍しくありません。そのような大規模環境において、全サーバーのパッチ適用状況を正確に把握し続けることは、セキュリティ管理の根幹をなす重要な業務です。

しかし、従来のアプローチにはいくつかの深刻な課題がありました。まず、担当者がサーバーごとに手動でパッチ適用状況を確認する作業は膨大な時間を要します。数百台のサーバーに対して個別にSSH接続やRDP接続を行い、適用済みパッチを確認するのは現実的ではありません。次に、AWSクラウド上のインスタンスだけでなく、オンプレミスサーバーやVMware環境なども含めたハイブリッド環境を統合的に管理する仕組みがない場合、環境ごとに異なるツールを使い分ける必要が生じます。

さらに、収集したデータを可視化するためのダッシュボード構築も一筋縄ではいきません。専門的なBI(ビジネスインテリジェンス)スキルを持つ担当者がいなければ、データをわかりやすい形で可視化することは難しく、経営層や監査チームに対してコンプライアンス状況を報告するための資料作成にも多大な工数がかかっていました。

こうした課題を解決するために、AWS Systems ManagerとAmazon QuickSightを組み合わせたソリューションが注目されています。このアプローチでは、インベントリデータの自動収集から可視化ダッシュボードの構築まで、一連のプロセスを大幅に自動化できます。

ソリューションのアーキテクチャ全体像

このソリューションは、複数のAWSサービスを連携させたデータパイプラインによって実現されています。各コンポーネントが担う役割を理解することで、全体像がよりクリアになります。

まず起点となるのがAWS Systems Manager(SSM)です。SSMは「マネージドノード」と呼ばれる管理対象のサーバー群に対して、エージェント経由でスクリプトを実行する機能を持っています。SSM Associationという機能を使うことで、定期的(デフォルトでは7日ごと)にカスタムスクリプトを実行し、各サーバーのインベントリ情報(ディスク容量、ライセンス情報、ドライバーバージョン、インスタンスタイプ、パッチ適用状況など)を収集します。

収集されたデータは、SSMのリソースデータ同期機能によって中央のAmazon S3バケットに集約されます。このS3バケットが、組織全体のインベントリデータの「ハブ」となります。

次に、AWS Glueのクローラーが12時間ごとにS3バケットをスキャンし、データのスキーマを自動検出してデータカタログを更新します。このカタログがあることで、後続のクエリエンジンがデータの構造を理解できるようになります。

データクエリの役割を担うのがAmazon Athenaです。AthenaはS3に保存されたデータに対してSQL形式のクエリを実行できるサーバーレスなクエリエンジンで、GlueのデータカタログをスキーマとしてQuickSightからのクエリリクエストを処理します。

そして最終段階として、Amazon QuickSightがAthena経由でデータを取得し、ダッシュボードとして可視化します。特に注目すべきは、Amazon Q in QuickSightの自然言語機能です。BIの専門知識がなくても、日本語や英語で「OS別のノード数を円グラフで表示して」といったプロンプトを入力するだけで、適切なビジュアルが自動生成されます。

AWS Systems ManagerからAmazon QuickSightへのデータパイプライン図

CloudFormationを使った環境構築手順

このソリューションの構築は、AWSが提供するCloudFormationテンプレートを活用することで大幅に簡略化されています。インフラをコードとして管理するIaC(Infrastructure as Code)のアプローチにより、環境の再現性と一貫性が確保されます。

デプロイ準備

まず、GitHubに公開されているCloudFormationテンプレートをダウンロードします。このテンプレートには、S3バケット、Glueクローラー、Athenaのデータソース設定、IAMロールなど、必要なリソースが一式定義されています。デプロイ時に設定が必要なパラメータとしては、組織ID(Organization ID)、AWSアカウントID、デプロイ先のリージョンなどがあります。

権限設定

Amazon QuickSightでデータを可視化するには、適切なロールとアクセス権限の設定が必要です。ダッシュボードを作成・編集するユーザーには、QuickSightの「Admin Pro」または「Author Pro」ロールを付与します。これらのロールにより、Amazon Q in QuickSightの自然言語機能を含むすべての高度な機能が利用可能になります。また、QuickSightがAthena経由でS3のデータにアクセスできるよう、適切なIAMポリシーを設定します。

SSM Associationの設定

マネージドノードごとのインベントリ収集を自動化するために、SSM Associationを設定します。Associationでは、実行するスクリプト、対象ノードの指定、実行スケジュールを定義します。デフォルトでは7日ごとに実行されますが、要件に応じてスケジュールを変更することも可能です。SSMエージェントがインストールされているノードであれば、AWSのEC2インスタンスはもちろん、オンプレミスサーバーやVMware環境のVMも管理対象に含めることができます。

Amazon QuickSightでダッシュボードを自動生成する

環境の構築が完了したら、いよいよAmazon QuickSightを使ったダッシュボードの作成です。Amazon Q in QuickSightの自然言語機能を活用することで、従来なら数時間かかっていた作業が数分で完了します。

インベントリダッシュボードの作成

まず、管理環境全体の概観を把握するためのインベントリダッシュボードを作成します。自然言語プロンプトで「プロバイダー別のマネージドノード数を円グラフで表示して」と入力するだけで、AWS、オンプレミス、VMwareなど環境別のノード分布が可視化されます。同様に、「ステータス別のノード数をドーナツグラフで表示して」と入力すれば、オンライン・オフライン・メンテナンスモードなど、各ノードの稼働状況が一目で把握できます。

OS別の内訳(Windows Server 2019/2022、各種Linuxディストリビューションなど)や、プラットフォーム別(EC2、ECS、オンプレミスなど)の分類も、プロンプトひとつで追加できます。EC2インスタンス固有の情報として、ENA(Elastic Network Adapter)対応状況、NVMeストレージの使用状況、ライセンスタイプなども可視化の対象に含めることができます。

パッチコンプライアンスダッシュボードの作成

セキュリティ管理の観点で特に重要なのが、パッチコンプライアンスダッシュボードです。「パッチコンプライアンス率をノードごとに表示して」と入力することで、どのノードが適切なパッチを適用済みで、どのノードが未適用かが一覧で確認できます。

非準拠ノードのリストを表形式で生成し、未適用のパッチ名、重要度(Critical、High、Medium、Lowなど)、公開日などの詳細情報を並べることも可能です。このデータをもとに、優先的に対応が必要なノードを特定し、パッチ適用作業の計画を立てることができます。

ダッシュボードは定期的に自動更新されるため、Glueクローラーが12時間ごとに最新データを取り込むたびに、コンプライアンス状況が自動的に反映されます。監査チームへの報告や、セキュリティレビューの資料としても活用できます。

パッチコンプライアンスダッシュボードのイメージ

導入によって得られる運用上のメリット

このソリューションを導入することで、企業のITインフラ管理に以下のような具体的なメリットがもたらされます。

作業時間の大幅な削減

従来、パッチ適用状況の確認レポートを作成するには、各サーバーへの個別アクセス、データのエクスポート、Excelでの集計・グラフ作成といった複数のステップが必要でした。このソリューションでは、データ収集から可視化まで自動化されており、最新の状況をいつでもダッシュボードで確認できます。BIツールの専門知識がなくても、自然言語プロンプトだけで必要なビジュアルを生成できるため、担当者の技術的ハードルも大幅に下がります。

ハイブリッド環境の統合管理

AWS上のEC2インスタンスだけでなく、オンプレミスサーバーやVMware仮想マシンも含めたハイブリッド環境全体を、単一のダッシュボードで統合管理できます。SSMエージェントが対応する環境であれば、クラウドとオンプレミスの境界を意識せずに一元的なインベントリ管理が可能になります。これは、クラウド移行の過渡期にある企業にとって特に大きな価値を持ちます。

セキュリティとコンプライアンスの強化

リアルタイムに近い形でパッチコンプライアンス状況を把握できることで、セキュリティリスクへの迅速な対応が可能になります。重大な脆弱性に対応するパッチが公開された際に、自社環境のどのノードが影響を受けるかをすぐに特定し、優先的に対処することができます。また、コンプライアンス要件に基づく定期的な報告書の作成も、ダッシュボードのスクリーンショットやデータエクスポートで容易に対応できます。

インフラのコード化による管理効率化

CloudFormationテンプレートを使ったデプロイにより、同じ構成を複数の環境(開発、ステージング、本番)や複数のAWSアカウントに再現することが容易になります。IaCのアプローチは変更管理やバージョン管理にも適しており、チームでの協働作業や将来的なメンテナンスを効率化します。

まとめ

AWS Systems ManagerとAmazon QuickSightを組み合わせたパッチ管理・インベントリダッシュボードのソリューションは、エンタープライズ向けのITインフラ管理に大きな変革をもたらします。自然言語プロンプトによるダッシュボード自動生成、複数環境にまたがる統合管理、リアルタイムに近いコンプライアンス状況の可視化といった機能により、従来は専門的なスキルと多大な工数を要していた作業が、誰でも短時間で実現できるようになります。

本記事で紹介したアーキテクチャは、CloudFormationテンプレートを使って比較的容易に構築できますが、実際のエンタープライズ環境への適用に際しては、既存のセキュリティポリシーやネットワーク構成への配慮、大規模環境でのパフォーマンスチューニングなど、個別の要件に合わせたカスタマイズが必要になる場合があります。

Ragateでは、AWSを活用したクラウドインフラの構築・運用支援から、セキュリティ診断、ITコンプライアンス管理の仕組みづくりまで、エンタープライズ向けのトータルサポートを提供しています。Amazon QuickSightやSystems Managerの導入・活用についてご相談がある際は、ぜひお気軽にお問い合わせください。

IT/DXプロジェクト推進するPMO・コンサル人材を提供しています

AI利活用×高生産性のリソースで、あらゆるIT/DXプロジェクトを一気通貫支援します

詳しく見る →
AI駆動型ITコンサルティング
Careerバナーconsultingバナー

この記事を書いた人

益子 竜与志

取締役益子 竜与志

複数のITベンチャーで技術責任者/経営企画を歴任し、事業戦略とプロダクト成長を主導。2017年にRagate株式会社を創業し、サーバーレス技術の黎明期よりAWS・サーバーレス開発プロジェクトを牽引し、AWS Top Engineers 2024 ( Service ) ・AWS Rising Star Partners of the Year – Japan賞を受賞。経営課題/戦略を起点としたDX戦略策定とクラウドシステムデリバリを強みに、SMB市場を中心に数多くの企業変革を支援。GLOBIS経営大学院MBAで培った経営戦略・マーケティングミックスの知見と、AWS/先端技術の深い専門性を掛け合わせ、価値創出を加速させている。

【保有資格・認定】

  • AWS認定ソリューションアーキテクト・プロフェッショナル
  • AWS認定DevOps・プロフェッショナル
  • AWS Top Engineer
  • Salesforce アドミニストレータ

他にもこんな記事が読まれています。

About

最新技術を大衆化する。対話と技術で、最高の成果を。
あなたが主役の会社。

学ぶ意志と、挑戦心。あなたに必要なのは、それだけ。
できないことを、できるようになる。
それが私たちの仕事。

私たちのカルチャー
  • ラーゲイト株式会社
  • ラーゲイト株式会社
  • ラーゲイト株式会社
求人記事一覧へ
Our passion

Our passion

わたしたちの技術への想い

最高のプロジェクトは、最高の対話から始まる。
お客様の課題に向き合い、技術で未来を切り拓く。

技術への想い