MBSAでWindowsのセキュリティチェックと構成の見直しをITプロ必携の超便利システム管理ツール集(16)

Windowsを安心、安全に使うには、マルウェア対策やWindows Updateによる更新はもちろんのこと、セキュリティを低下させるような不適切な設定を放置しないことが大事です。「Microsoft Baseline Security Analyzer」(MBSA)でチェックしてみましょう。

» 2014年11月06日 18時00分 公開
[山市良テクニカルライター]
「ITプロ必携の超便利システム管理ツール集」のインデックス

連載目次

今回紹介するツール

[ツール名]Microsoft Baseline Security Analyzer 2.3

[対象]Windows

[提供元]マイクロソフト

[ダウンロード先]http://www.microsoft.com/ja-jp/download/details.aspx?id=7558(マイクロソフト ダウンロードセンター)


10年以上の歴史あるPC管理者向けの古参ツール

 「Microsoft Baseline Security Analyzer」(MBSA)は、ローカルまたはリモートのWindows PCのセキュリティ更新プログラムの適用状況や不適切なセキュリティ構成をスキャンして、レポートしてくれるツールです。

 最新バージョンは2013年11月にリリースされたMBSA 2.3です(画面1)。最初のバージョンは2004年にリリースされたMBSA 1.2ですが、それ以前にも「Microsoft Network Security Hotfix Checker」という名前で提供されていました。MBSAは、実に10年以上の歴史があるツールなのです。

画面1 画面1 MBSA 2.3の起動画面

 最新のMBSA 2.3は、Windows XPからWindows 8.1、Windows Server 2003からWindows Server 2012 R2に対応し、ローカルおよびリモートのPCを対象に以下の項目をスキャンして、セキュリティレポートを作成してくれます。

  • セキュリティ更新プログラムの適用状況
  • 脆弱(ぜいじゃく)性があるWindowsの構成上の問題
  • インターネットインフォメーションサービス(IIS)の状態
  • SQL Serverの状態
  • Internet Explorer(IE)およびMicrosoft Office製品の状態

 MBSAは、コンピューター名またはIPアドレスの指定で1台のPCに対して実行するか、Active DirectoryドメインまたはIPアドレスの範囲指定で複数のPCを対象に実行することができます(画面2)。更新プログラムは「Microsoft Updateカタログ」や社内の「Windows Server Update Services」(WSUS)を使用して、Windows標準の「Windows Updateエージェント」(WUA)でスキャンされるので、取りこぼしなくチェックすることができます。

画面2 画面2 単一のPCを対象としたスキャン

筆者の仕事用Windows 7 PCをスキャンした結果は……

 MBSAは企業向けのツールですが、個人で自分のPCのセキュリティ状態をチェックすることもできます。試しに、筆者が日常的に仕事で使っているWindows 7 PCをチェックしてみました。

 その結果、全く入っているとは考えていなかった「インターネットインフォメーションサービス」(IIS)のインスタンスが見つかりました。おそらく、評価やテストのために一時的に利用したアプリケーションの前提プログラムとしてインストールされたのでしょう。アプリケーションをアンインストールしただけでは、IISは無効にならなかったというわけです。

 良い機会なので、コントロールパネルの「Windowsの機能の有効化または無効化」を使って、IISを無効化しました(画面3)。その前に「プログラムのアンインストールまたは変更」を開いて、IISに依存しているかもしれないアプリケーションを探し、IISを無効化しても問題がないことを確認します。ついでに、全く使っていない不要なアプリケーションもアンインストールして、スッキリさせることができました。MBSAを実行していなければ、当分やることがなかったPCのメンテナンス作業です。

画面3 画面3 使っているつもりがないIISが見つかったので、無効化することに

サポートが終了したWindows XPをスキャンした結果

 ついでに、あまり起動することがなくなったWindows XPのPC(実は、Windows 7に入っているWindows Virtual PCのWindows XPモード)に対して、リモートスキャンを実行してみました。

 MBSAはイントラネットなら、通常空いているリモート管理用のリモートプロシージャコール(RPC、135/TCPなど)およびファイル共有(139/TCP、445/TCP、137/UDP、138/UDP)が通信できれば、リモートスキャンが実行できます。しかし、Windows XPやWindows Server 2003の場合は、それだけではスキャンに失敗するという既知の問題があるようです(画面4)。

画面4 画面4 Windows XPの場合、MBSAに必要なポートを開いてもスキャンに失敗する場合がある

 そこで、一時的に「Windowsファイアウォール」を無効にしてスキャンを実行しました。MBSAでのスキャンのためにセキュリティを低下させることになるので、スキャン後は忘れずに必ず元の状態に戻しておきましょう。

 Windows XPにはもうセキュリティ更新プログラムは提供されないと思っていましたが、スキャンの結果、Office 2007の更新が一つ見つかりました(画面5)。Windows XPのサポートは2014年4月に終了しましたが、サポートが終了していないアプリケーションの更新は引き続き受け取れるので、Windows XPを廃棄するつもりがなければ毎月1回、起動してWindows Updateを実行するのがよいかもしれません。

画面5 画面5 サポートが終了したWindows XPにも、サポートが終了していないアプリケーションの更新は提供される
「ITプロ必携の超便利システム管理ツール集」バックナンバー

筆者紹介

山市 良(やまいち りょう)

岩手県花巻市在住。Microsoft MVP:Hyper-V(Oct 2008 - Sep 2014)。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。マイクロソフト製品、テクノロジを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手がける。個人ブログは『山市良のえぬなんとかわーるど』。


Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。