Insider's Eye：Service Packのロードマップに見るセキュリティ保守計画の課題

Insider's Eye

Service Packのロードマップに見るセキュリティ保守計画の課題

――　SPを軸とするWindowsメンテナンス計画を立案する　――

Michael Cherry
2003/10/29
Copyright (C) 2003, Redmond Communications Inc. and Mediaselect Inc.

本記事は、（株）メディアセレクトが発行する月刊誌「Directions on Microsoft日本語版」 2003年10月15日号 p.15の「Windowsサービス・パックのロードマップに見るセキュリティ保守計画の課題」を、許可を得て転載したものです。同誌に関する詳しい情報は、本記事の最後に掲載しています。

　Microsoftは新しいWindows Service Packのロードマップを公開し、Windowsの次期Service Packのリリース予定時期と概要を明らかにした。このロードマップは、バグやセキュリティ上の脆弱性に対するテスト済みの修正プログラムの導入にService Packを利用する企業顧客にとって有益だろう。自社のコンピュータをサポートしていくための基礎資料として参考になるはずだ。だがロードマップによれば、Windows XPの次期Service Packが登場するのはかなり先になり、それ以降のWindows Service Packの提供計画はまだ未定だ。このため、顧客はService Packだけに頼らないWindowsのメンテナンス計画を立てる必要がある。

　Windows Service Packのロードマップの最新版は、2003年8月からMicrosoftのWebサイトに掲載されており、四半期ごとに更新される予定だ。このロードマップには、最新のService Packに関する情報と、次期Service Packのリリース予定時期と概要に加え、最新Service Packの1つ前のService Packに関する情報も含まれている。これはWindows製品のライフサイクル・ガイドラインのもと、最新Service Packのリリースの1年後まで、その1つ前のService Packのサポートが継続されているためだ（同ロードマップの概要については、コラム「Windows Service Packのロードマップ」を参照）。

Service Packの重み

　顧客はService Packを使用して、徹底的なテストを経た修正プログラムをWindowsに適用したり、コンピュータのサポート基盤を標準的なレベルに再整備したりする。またService Packは、コンピュータに多数の修正プログラムを一括して適用するための効率的な手段でもある。

■テスト済みの修正プログラムの導入
　多くの場合、顧客はMicrosoftがリリースするセキュリティ・パッチや緊急アップデート・プログラムを逐一インストールすることはしない。こうした修正プログラムは通常、Service Packと同程度のテストを経ていないからだ。これに対しService Packは、一般に製品のリリース時と同程度のテストを経て提供される。Microsoftによると、そのおかげでService Packは、既存のService Packや製品で提供される機能や性能に支障を与えない（この詳細については「Windows TIPS：セキュリティ・パッチの3つのレベル」）。またService Packには、アプリケーションやデバイスとの互換性に影響する要素は、セキュリティ上の脆弱性の修正に必要でない限り含まれないことになっている。

　このため、脆弱性や問題が見つかった場合、顧客は次期Service Packがリリースされるまで、サービスの停止やネットワーク通信ポートの閉鎖といった回避策でしのぐことが多い。

■サポート基盤の再整備
　企業顧客は、Service Packを使用して社内のサポート基盤の確立を図るケースが多い。社内のすべてのコンピュータにService Packを導入し、これらに搭載されているOSやそのほかのソフトウェアのバージョンをそろえるという方法が取られる。

■修正プログラムの効率的な適用
　Service Packは、コンピュータに多数の修正プログラムを一括して適用するための最もシンプルな手段だ。このことはOEMや小規模企業ユーザー、ホーム・ユーザーにとって重要な意味を持つ。OEMは、セキュリティ・パッチや緊急アップデート・プログラムをプレインストールする権利を認められている。だが、こうした修正プログラムはリリース頻度が高く、プレインストールしたOSイメージのアップデートは複雑な作業になることから、この権利を利用しているOEMはほとんどない。＊1このためユーザーは、Windows Updateサイトから新しいコンピュータに多数のセキュリティ・パッチや緊急アップデート・プログラムをそれぞれダウンロードしてインストールしなければならない。

＊1 NECなど一部のベンダは、Blasterワーム対策として「TechNetセキュリティ情報：MS03-026」で提供された修正プログラムなどをインストールしてコンピュータを出荷している。

　大企業は、高度な自動化によってこの問題に対処するためのノウハウやツールを持っているかもしれない。だが、Windows XP Service Pack 1がプレインストールされた新しいコンピュータをOEMから購入する小規模企業やコンシューマは、合計容量が30Mbytesを超す20種類以上のアップデート・プログラムをダウンロードしなければならない。ダイヤルアップ接続を利用する場合には、こうして新しいコンピュータのセキュリティを確保するのに何時間もかかる可能性がある。

　Service Packの導入は、OEMにとっても企業顧客にとってもかなりの計画とリソースを要する。評価検討するとともに、ほかの作業やプロジェクトとの間で調整しなければならないからだ。また、Service Packの導入は、十分な準備期間を設け、変更管理プロセスを通じてスケジューリングする必要もある。多くの顧客は、Service Packを製品の新リリースと同様に扱い、評価とテストを行ってから導入計画を立てる。Windows Service Packのロードマップは、この計画立案を行う上で有益だろう。

時間がかかるリリース。開発チームの重圧

　顧客にとっては残念なことに、最新のWindows Service Packのロードマップによると、Service Packのリリース間隔は長くなる。また、次のリリース以降の計画はあいまいだ。

　特にロードマップでは、Windows XPの2番目のService Packのリリースは2004年中ごろになるとされている。2004年6月30日にリリースされた場合、最初のService Packのリリースから22カ月後ということになる。これに対し、Windows 2000の2番目のService Packは、最初のService Packのリリースから10カ月後にリリースされた（Windows 2000の発売からは15カ月後）。最初のService Packのリリース以降、Windows XPのセキュリティ・パッチや緊急アップデート・プログラムはすでに20種類以上公開されているが、次期Service Packの登場はまだ遠い先だ。

　Windows 2000の次期Service Packの計画はさらにあいまいで、ロードマップでは「未定」とされているにすぎない。バグの大半は製品ライフサイクルの早い段階で見つかる傾向があるのは事実だ。だが、Windows 2000のメインストリーム・サポート・フェイズは2005年3月31日に終了することになっており、多くの顧客は、この製品の5番目の、そして恐らく最後のService Packが、この日より前にリリースされると予想している。

　Microsoftはロードマップがあいまいな理由について、「顧客がService Packに確固たる期待や要求を持っていることから、製品のリリース時と同様に、（ベータ版、リリース候補版と段階を踏んで）完全かつ徹底的なテストを行うまで、Service Packをリリースしない方針を取っているため」と説明している。

　しかし、Windows XPの次期Service Packのリリースまでにかなりの期間がかかり、それ以降のロードマップがあいまいなのは、Service Packを開発するWindowsのサステインド・エンジニアリング・チームが背負っている重圧の表れかもしれない。このチーム（プログラム・マネージャや開発者、テスタを独自に抱えている）は、Windows製品チームとともに次のようないくつもの重要課題を担い、リソースの調整に苦労している模様だ。

さまざまな製品（Windows 2000、Windows XP、Windows Server 2003）、さまざまなエディション（Windows XP Home、Professional、Media、Tablet、Embeddedの各エディションなど）、さまざまな言語バージョンを同時にテストする。
セキュリティ・パッチの開発、テスト、提供によってWindowsのセキュリティを確保する。
USB（Universal Serial Bus）2.0やIntelのCentrinoプラットフォーム＊2などのハードウェア・サポートや、WPA（Wi-Fi Protected Access）のような新しい無線LANセキュリティ機能のサポートなどの機能追加により、Windowsの最新性を確保する。
2003年10月開催のProfessional Developers Conferenceでリリースが予定されている次期Windows（開発コード名：Longhorn）の最初のプレビュー・バージョンに取り組む。

＊2 Centrinoプラットフォーム：Intelが開発中のモバイルPC向けプロセッサ「Pentium M」を中核としたプラットフォーム。以前は開発コード名で「Banias（バニアス）」と呼ばれていた。

当座をしのぐアップデート対策

　Service Packのロードマップはあいまいで、Windowsの導入展開の管理に役立つ情報を顧客にほとんど提供しない。次期Service Packがリリースされるまで、顧客は増え続ける一方のアップデート・プログラムをWindowsに適用していかなければならない。

　大企業では、次のようなさまざまなツールを使用することで、その作業が継続しやすくなることが期待できる。

●Software Update Services（SUS）：
　Windowsの重要なアップデート・プログラムやセキュリティ・パッチの配布、インストールを自動化する手段を提供する。

●Systems Management Server（SMS）用のSoftware Update Services Feature Pack：
　SMSを利用したWindowsとパッチの導入展開を大幅に容易にする。

●Automatic Update：
　MicrosoftのWindows Updateサイトか企業の（社内）SUSサーバからアップデート・プログラムを（バックグラウンドで）自動的にダウンロードすることを可能にする。

　一方、OEMや小規模企業、ホーム・ユーザーは、一定期間にリリースされたセキュリティ・パッチが1つのパッケージに集約されたSecurity Rollup Package（セキュリティ・ロールアップ・パッケージ、以下SRP）の恩恵を受けるだろう。Microsoftはこのパッケージの提供を当面見合わせているが、いずれ再開する見通しだ。＊3OEMは、新しい修正プログラムがリリースされるたびに製造プロセスを変更することは望まないが、SRPが提供されていれば、新しいコンピュータにプレインストールしたり、バンドルしたりできる。また、大部分の小規模企業やコンシューマは、Windows Updateのようなサービスを未だにダイヤルアップ接続で利用しており、多くの場合、どの修正プログラムをインストールすべきかを判断する専門知識を持っていない。だが、（米国で、幅広いチャネルで配布されているマーケティングCDの「Windows Experience」のように）オンラインまたはコンピュータ販売店で無料または少額の料金で入手できるSRPを利用すれば、顧客は新しいコンピュータを買ったり、Windowsを再インストールしたりするたびに、修正プログラムを何時間もかけてダウンロードする手間を省くことができる。

＊3 マイクロソフトは、2003年10月16日にWindows XP用SRP「Windows XP用ロールアップ修正プログラム 1」の提供を開始している。

参考資料

Windows Service Packのロードマップ

Windowsのバージョン	1つ前のService Pack	最新のService Pack	最新のService Packのリリース日	次期Service Pack
NT 4.0 Workstation	SP5	SP6、SP6a SRP*	1999/11/30	計画されていない
NT 4.0 Server	SP5	SP6、SP6a SRP*	1999/11/30	計画されていない
Windows 2000 Professional	SP3	SP4	2003/6/26	未定
Windows 2000 Server	SP3	SP4	2003/6/26	未定
Windows XP Home	なし	SP1	2002/9/4	2004年中盤
Windows XP Professional	なし	SP1a	2002/9/4	2004年中盤
Windows Server 2003	なし	なし	なし	2004年第1四半期

* Security Rollup Package。セキュリティに関する複数の修正プログラムをひとまとめにしたもの。

　この表は、Windows Service Packのロードマップの概要を示している。最新のService Packの1つ前のService Packに関する情報が含まれているのは、最新Service Packをテストして導入する時間を顧客に提供する目的で、Microsoftが最新Service Packのリリースの1年後まで、その1つ前のService Packのサポートを継続しているためだ。Windows 2000 Service Pack 5（SP5）のリリース時期は「未定」とされているが、SP5はWindows 2000にとって最後のService Packになると見られるため、2005年にリリースされると予想される。通例では、製品の発売から時間が経過するにつれて、Service Packのリリース間隔は長くなる。深刻なバグの大半は製品のライフサイクルの早い段階で見つかるからだ。

Directions on Microsoft日本語版
本記事は、（株）メディアセレクトが発行するマイクロソフト技術戦略情報誌「Directions on Microsoft日本語版」から、同社の許可を得て内容を転載したものです。『Directions on Microsoft 日本語版』は、同社のWebサイトより定期購読の申込みができます。

　「Insider's Eye」

Windows Server Insider フォーラム新着記事

Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる （2017/7/27）
　AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう
Azure Storage ExplorerでStorageを手軽に操作する （2017/7/24）
　エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう
Win 10でキーボード配列が誤認識された場合の対処 （2017/7/21）
　キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう
Azure Web AppsでWordPressをインストールしてみる （2017/7/20）
　これまでのIaaSに続き、Azureの大きな特徴といえるPaaSサービス、Azure App Serviceを試してみた！まずはWordPressをインストールしてみる