セキュリティチェックツール「Microsoft Baseline Security Analyzer(MBSA)」を継ぐものは?山市良のうぃんどうず日記(202)

以前、Microsoftは「Microsoft Baseline Security Analyzer(MBSA)」というセキュリティチェックツールを提供していました。最近、このツールの話題を聞かないと思っていたら、数年前(2018年ごろ)に提供を停止していたようです。Windows 10など、現在メインストリームまたは延長サポートフェーズのWindowsで利用可能な代替ツールをざっと調査してみました。

» 2021年03月10日 05時00分 公開
[山市良テクニカルライター]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

「山市良のうぃんどうず日記」のインデックス

山市良のうぃんどうず日記

MBSAの開発とダウンロード提供は数年前に既に終了

 Microsoftが提供していた「Microsoft Baseline Security Analyzer(MBSA)」は、ローカルまたはリモートのWindows PCのセキュリティ更新プログラム適用状況や不適切なセキュリティ構成をスキャンしてレポートしてくれるツールでした。

 最初のMBSAは「Windows 2000」以降に対応し、Windows Updateや「Windows Server Update Services(WSUS)」をオンラインで利用できない状況でも実行でき、全てのセキュリティ更新プログラムと推奨セキュリティ設定が企業内で維持されているかどうかをチェックできました(画面1)。

画面1 画面1 在りし日のMBSA(画面は最後のバージョンとなったMBSA 2.3)

 MBSAの用途について説明している以下のドキュメントでは、「Windows 8.1」および「Windows Server 2012 R2」に対応したMBSA 2.3(2013年11月リリース)を最後に開発は終了し、ダウンロード提供も停止されました。「Windows 10」および「Windows Server 2016」に対応するために、MBSA 2.3に対して更新などが提供されることはありませんでした。

 つまり、Windows 10/Windows Server 2016以降に対応したMBSAは存在しないということです。また、それ以前のWindowsに、過去に導入したMBSAが残っている場合でも、Windows UpdateやWSUSにおけるSHA-1(Secure Hash Algorithm 1)廃止の影響を受け、MBSAによるオフラインスキャンはエラーで失敗するそうです。MBSA 2.3以前が残っている場合は、アンインストールしてしまいましょう。

最新の「wsusscn2.cab」に対するWUA APIによるオフラインスキャン

 Windows UpdateやWSUSにオンラインでアクセスできないコンピュータのセキュリティ更新プログラムの適用状況を調査する代替手段としては、以下のドキュメントで説明されている、最新の「wsusscn2.cab」と「Windows Update Agent(WUA)API」を使用したオフラインスキャンが紹介されています。

 「wsusscn2.cab」は署名者「Microsoft Corporation」によってデジタル署名されたカタログで、セキュリティ関連の更新プログラムの最新情報を含みます。このファイルはWindows Updateサイトからダウンロード可能で(ダウンロードリンクはドキュメントに示されています)、毎月のセキュリティ更新プログラムのリリース(米国時間の第2火曜日)に最新版に置き換えられます(2021年1月版のサイズは約935MB)。

 ドキュメントには「Windows Script Host(WSH)」用のVBScript(Visual Basic Scripting Edition)コードが掲載されているので、コピーしてテキストファイルに貼り付け、ダウンロードした「wsusscn2.cab」の保存先パスを適宜書き換えて、例えば「offlinescan.vbs」というファイル名を付けて保存します。チェック対象のコンピュータ上でスクリプトを実行(cscript offlinescan.vbs)することで、不足しているセキュリティ更新プログラムを調査できます(画面2)。

cscript offlinescan.vbs
画面2 画面2 最新の「wsusscn2.cab」を使用したオフラインスキャン。ネットワークに接続していなくてもセキュリティ更新の不足を調査できる

 また、以下のサイトでかなり前から公開されている、同じくWUA APIを使用したWindows Update用のサンプルスクリプト「WUA_SearchDownloadInstall.vbs」は、最近機能アップ版に差し替えられ、オフラインスキャンにも対応しました。

Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

Microsoft & Windows最前線2025
AI for エンジニアリング
ローコード/ノーコード セントラル by @IT - ITエンジニアがビジネスの中心で活躍する組織へ
Cloud Native Central by @IT - スケーラブルな能力を組織に
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。