ServiceNowを運用すると毎月のPatch適用が面倒ですが、Now SupportがスケジュールするChangeチケット通りに対応すると、意外と工数がかからないことに気づきました。
このパッチ適用のスケジュール(適用プログラム)を説明している公式のKB1080515が、ものすごくわかりづらいため、翻訳を翻訳してみます。
パッチ適用プログラムと、以前の四半期パッチ適用プログラムの違いは何ですか?
パッチ適用プログラムの強化により、四半期ごとに 1 つの完全版パッチと、四半期ごとに 2 つの増分セキュリティパッチが提供されるため、スケジュールが予測しやすくなります。以前の四半期パッチ適用プログラムでは、四半期ごとに 1 回、完全版パッチをインスタンスに適用していました。主に週末にパッチを適用できるようスケジュールし、業務の中断を最小限に抑えます。
早い話が、「1月、4月、7月、10月のパッチについては、指定のパッチ(パッチターゲット)(例:2023年1月はTokyo Patch4)バージョンのパッチ適用を計画するけど、その他の月はセキュリティアップデートだから差分が少ないので、パッチ適用に多くの工数をかけなくてもいいよ」という内容です。
パッチ適用プログラムはどのようにスケジュールされていますか?
四半期開始の約 2 週間前に、サポートされている各リリースファミリの最低限のパッチバージョン (パッチターゲットとも呼ばれます) と、パッチおよび後続のセキュリティパッチを適用する期間を、ServiceNow からお客様にお知らせします。上位のパッチバージョンに移行するか、以前のパッチを適用するかを毎回選択できます。
四半期の最初の月に、ServiceNow はお知らせした最低限のパッチバージョンをすべてのインスタンスに適用します。ServiceNow が自動的にスケジュールし、インスタンスをそのバージョンに更新します。
ものすごく回りくどいですね。
12月、6月は20日くらい、3月と9月はファミリーリリース(メジャーバージョンアップ)があるので23日くらいに、Now Supportから指定のパッチバージョンを翌月にパッチ適用するスケジュールを案内するから、それぞれ1月、4月、7月、10月末までにProductionインスタンスに適用しなさい(Changeチケットでスケジュールする)ねって事です。
各四半期の 2 か月目と 3 か月目に、ServiceNow はセキュリティ脆弱性に対するパッチを適用します。この場合、インスタンスがセキュリティパッチバージョンに移行されるよう自動的にスケジュールされます。ServiceNow は、非本番インスタンスの場合は約 1 週間前に、本番インスタンスの場合は 3 週間前に変更を作成します。ここでも、上位のパッチバージョンに移行するか、以前のパッチを適用するかを選択できます。
セキュリティパッチにはセキュリティ修正のみが含まれており、パッチターゲットバージョンに増分的に組み込まれます。たとえば、パッチターゲットが Quebec パッチ 6 で、セキュリティパッチが Quebec パッチ 6a の場合、2 つのパッチバージョンの違いは Quebec パッチ 6a のセキュリティ修正です。通常、セキュリティパッチの修正数は 5 件未満ですが、必要に応じて修正を追加する場合があります。
再掲となりますが、1月、4月、7月、10月以外に実施される予定のパッチはセキュリティパッチとなるため、変化点が少なく、パッチ適用に対する工数削減が可能です。
私が手掛けていた過去の案件の場合、スモークテスト程度の簡単なテストで動作確認で済ませていました。
まとめ
- ServiceNowのパッチ適用のコツは12月、3月、6月、9月にNowSupportから連絡があるパッチに注力する
- もしバージョンアップを行う場合は上記パッチ適用のタイミングに合わせて実施すると楽
- 1月、4月、7月、10月以外に適用される予定のパッチはセキュリティパッチであり、差分が少ないため、可能な範囲で手を抜いて適用を行う
以前のServiceNowのパッチは、リリースノートに記載のない修正(例えば日本語訳の文言が書き換わる)など、確認のテストが面倒で、その時の悪夢から毎月の適用を避ける傾向にあるように感じます。
上記のポイントをおさえて対応を行うと、パッチバージョンがあがるタイミングは実質3か月に1回となるので、確認テストが楽になります。
なるべく、運用の手間を省いてセキュリティを担保できるよう、よりよい運用設計をしていきましょう。