Insider's Eye

パッチ管理エンジンの統合で混乱の収拾を図るMS

―― パッチの配布およびスキャン技術を連携 ――

Michael Cherry
2005/10/05
Copyright (C) 2004, Redmond Communications Inc. and Mediaselect Inc.

本記事は、(株)メディアセレクトが発行する月刊誌『Directions on Microsoft日本語版』2005年10月号 p.24の「配布テクノロジを統合強化―パッチ・スキャン結果の混乱を解消」を、許可を得て転載したものです。同誌に関する詳しい情報は、本記事の最後に掲載しています。

 マイクロソフトは、現在の異なるパッチ関連テクノロジを整理して、修正プログラムの適用状況の検査および配布を支援する統一プラットフォームの実現を図っている。基盤になるテクノロジは、Windows Update Agent(WUA)とMicrosoft Update(MU)Webサービスの2つで、WUAは共通のパッチ・スキャン・エンジンを提供し、MUは公開されたパッチを一元的に配布するシングル・ポイント・ロケーションとなる。この共通プラットフォームを利用すれば、2005年7月に実施されたMicrosoft Baseline Security Analyzer(MBSA)のバージョン2.0へのアップデートなど、ツールの更新が容易になる。さらに重要なことは、すべてのパッチ・スキャン・ツールが、より正確で、整合性の取れた検査結果を返せるようになることだ。ただし、現時点でこの新しいプラットフォームがサポートしているのは、ごく一部のマイクロソフト製品のみである。

統一プラットフォーム構築の狙い

 MBSAなど、マイクロソフトがこれまで提供してきたパッチ・スキャン・ツールは、それぞれ独自のスキャン・エンジンを使用して、深刻度が緊急レベルの修正プログラムがコンピュータに適用されているかどうかを検査していた。マイクロソフト製品は、製品によってまったく異なるパッチ適用テクノロジ(一時は8種類もの更新プログラム・エンジン)を使用していたため、これらのツールの検査結果は完全でなかったり、ツール間で結果にばらつきがあったりした。また、エンジンの中には修正ファイルが適用された記録をまったく残さないものもあった。スキャン・エンジンは、修正プログラムの適用状況を確認するうえで、最新のファイルのバージョンやサイズなど必要な情報を保持するデータ・ファイルを使用するが、これもツールごとに異なっていた。このため、すべてのツールで正確なデータを保持しておくことは困難だった。また、一部のツールは、必要に応じて即時に更新することが難しかったため、Microsoft Security Response Center(MSRC)は、緊急レベルの修正プログラムの適用状況を検査するパッチ専用のEnterprise Update Scan Tool(EST)をリリースせざるを得なかった。

 このような制約を解消するため、マイクロソフトは、OSコンポーネント用とアプリケーション用の2つのパッチ適用テクノロジに標準化を図っている。また、新しいコンポーネントを作成したり、一部のコンポーネントを更新して、パッチ・スキャンを行うWUAクライアントとMU Webサービスを基にした統一プラットフォームに対応させたりている。また、Systems Management Server(SMS)やWindows Server Update Services(WSUS)、MBSA 2.0など、マイクロソフトのパッチ・スキャンおよび配布テクノロジの最新バージョンも、このプラットフォームを使用している(これらの製品の連携については、コラム「パッチ・スキャンの統一プラットフォーム」を参照)。

パッチ・スキャンの統一プラットフォーム

 Windows Update Agent(WUA)およびMicrosoft Update(MU)Webサービスを基盤とする新しいパッチ・スキャン・プラットフォームは、さまざまなセキュリティおよび更新プログラム監査ツールをサポートする。WUA(最下部)は、管理対象の各コンピュータ上で動作し、各パッチについての情報を格納しているデータベース(カタログ)のローカル・コピーを保持する。監査ツールは、このローカル・コピーを確認して、新しいカタログ(WSUSSCAN.CAB)をインストールする必要があるかどうかを判断する。データベースの更新、パッチのダウンロードおよびインストール、パッチ適用状況の検査は、以下のクライアント側の監査ツールのいずれかによりAPIを介して実行される。

●自動更新サービス
 一般に公開されるコンシューマ向けのMicrosoft Update Webサイト、および企業内のパッチ配布に使われるWindows Server Update Services(WSUS)サーバに接続し、未適用のパッチの有無を検出する。

●Microsoft Baseline Security Analyzer 2.0
 未適用のパッチの有無だけでなく、セキュリティ上の構成の問題も検出する。

●Systems Management Server Inventory Tool for Microsoft Update(ITMU)
 Systems Management Server(SMS)により使用され、未適用のパッチを検出する。

 WUAは、WSUSまたはMicrosoft Update Webサービスにある最新版のパッチ情報データベースを利用できる。例えば、WSUSを導入している場合は、MBSAおよび自動更新サービスがWSUSからWSUSSCAN.CABファイルのコピーを取得し、社内のシステムへの適用が承認されている未適用の更新プログラムがないかを確認する。また、WUAの技術詳細を開発者に公開し、サードパーティの監査ツールがこの統一プラットフォームを利用できるようにしている。

統一されたパッチ・スキャンのプラットフォーム

 この統一プラットフォームと、このプラットフォーム対応のマイクロソフトのツールを使用して、セキュリティ・アップデート適用の有無を検出できる製品やコンポーネントは以下のとおりである。

  • Windows OS(Windows 2000 SP4、Windows XP、Windows Server 2003)
  • Windowsコンポーネント(Internet Explorer 5.0以降、Internet Information Services 5.01以降、Windows Media Player 6.4以降など)
  • Windows APIおよびクラス・ライブラリ(DirectX、.NET Frameworkなど)
  • Office XP以降
  • Exchange Server 2000以降
  • SQL Server 2000 SP4以降(MSDEも含む)

 ただし現時点では、MBSAなどWUAを使用するツールでは、SQL ServerおよびExchange ServerのService Pack、Office 2000の更新プログラム、Commerce ServerやBizTalk ServerなどのWindows Server System製品の更新プログラム、Digital Image Suiteなどの製品のインストール状態を確認できない。また、新しい統一プラットフォームがこれらの各種製品をサポートする時期については、未定である。マイクロソフトのチーフ・ソフトウェア・アーキテクトのBill Gates氏とセキュリティ部門担当副社長のMike Nash氏が、同社の全製品を対象とする統一されたアップデート・プロセスの提供を約束したのは、2年近く前のことになるが、この計画にすべての製品グループを参画させるのは容易なことではないだろう。

 WUAおよびMUがこれら全製品をサポートするようになるまでは、引き続きMBSA 1.2.1とパッチ専用のESTを使用してシステムのスキャンを実行する必要があることに注意が必要だ。ESTのスキャン・エンジンおよび修正プログラム・データ・ファイルには、MUおよびWUAが対象としていない製品の一部をカバーしている。

MBSAのスキャン内容と適用範囲

 Microsoft Baseline Security Analyzer(MBSA)は、必要なセキュリティ・アップデートの適用状況と、弱いパスワードの使用やパスワードの未設定など、セキュリティ上の一般的な構成の問題を検出するための無償ツールだ。MBSAは、次の2つの大きな点でMUと趣を異にしている。まず、MBSAはセキュリティ修正プログラムのみを対象としていることである。従って、MUが公開するセキュリティ関連以外の緊急アップデート、例えばカギ十字記号を含むMicrosoft Office用のフォントを削除するための緊急アップデートなどについては適用状況の検査を行わない。2つ目は、MBSAはセキュリティ・パッチの適用状況だけでなく、基本的なセキュリティ設定を確認できることだ。例えば、Windowsファイアウォールや自動更新サービスが有効か、パスワードが設定されていてその強度は十分か、Guestアカウントが有効か、更新プログラムが完全に適用されているか(ダウンロードおよびインストールはされていても、コンピュータを再起動して有効にする必要がある場合)などを確認できる。

 また、セキュリティ上の問題を特定するだけでなく、検出した問題に対処するための初歩的な情報も提供する。MBSAは、各コンピュータを個別にスキャンすることも、ネットワーク上の複数のコンピュータをまとめてスキャンすることもできる。

SMS 2003が最新プラットフォームに対応

 SMS 2003 Inventory Tool for Microsoft Update(ITMU)は、無償でダウンロード提供されるSMS 2003のアドオンである。SMS 2003サーバ上にインストールすると、SMS 2003が更新されて、SMS 2003の縮小版といえるWSUSが使用するスキャン技術を使用できるようになる。スキャン・エンジン自体はSMS 2003の既存のMBSAやOfficeスキャン・ツールとはかなり異なるが、ITMUの動作は基本的にこれまでのツールと変わらないほか、管理インターフェイスもまったく同じである。MUやMBSA 2.0などの新しいスキャン・ツールと同様に、ITMUはいままでより多くのマイクロソフト製品のパッチ状態を検出し、Microsoft Updateのカタログ・データを使用する。ただし、MBSAとは異なり、SMS 2003はITMUを使用して自動的に修正プログラム・パッケージを作成できる。SMSはこのパッケージをターゲット・コンピュータ上で実行し、修正プログラムをリモートで適用したり、インストール状態のレポートを取得したりすることができる。

 SMS 2003のスキャン・ツールに関して機能強化されたそのほかの便利な点としては、ITMUが自動的に適切な無人インストール・スイッチを使って修正プログラムを設定できることが挙げられる。これにより、管理者の手間が軽減するだけでなく、修正プログラムの適用プロセスの信頼性も高まる。End of Article

MBSA 2.0のセキュリティ・レポート

 Microsoft Baseline Security Analyzer(MBSA)2.0は、コンピュータに未適用のセキュリティ・アップデートがないかだけでなく、セキュリティ上の構成の問題の有無についても検査する。この図のレポートからは、検査対象のコンピュータには、Microsoft OfficeおよびWindowsのセキュリティ・アップデートはすべてインストールされているが、構成上の問題がいくつかあることが分かる。具体的には、Guestアカウントが有効である(これは通常、セキュリティ上推奨されない設定である)。また、更新プログラムを自動的にダウンロードする設定になっているが、インストールは自動で行うよう設定されていない。(MBSAは、アップデートをダウンロードするだけでなくインストールも同時に行うべきであることを示唆している)。MBSA 2.0では、インストールされてもPCをリブートしなければ有効にならない更新プログラムを報告する機能も追加された。そのほか、Microsoft Updateで公開されている更新プログラムで、社内のWindows Server Update Servicesを介した配布が承認されていない更新プログラムを特定する機能もある。

 この図では表示されていないが、レポートには、このほかにもコンピュータのセキュリティの状態についてのデータが記載されている。

関連記事(Windows Server Insider)
Microsoft Baseline Security Analyzer 2.0日本語版
Windows Server Update Services
 
  関連リンク
Microsoft Baseline Security Analyzer (MBSA) 2.0 について(マイクロソフト)
Microsoft Baseline Security Analyzer 2.0(マイクロソフト)
SMS 2003 Inventory Tool for Microsoft Updates(マイクロソフト)
Microsoft 更新プログラム用 SMS 2003 インベントリ ツール(マイクロソフト ダウンロード)
Directions on Microsoft日本語版
本記事は、(株)メディアセレクトが発行するマイクロソフト技術戦略情報誌「Directions on Microsoft日本語版」から、同社の許可を得て内容を転載したものです。『Directions on Microsoft 日本語版』は、同社のWebサイトより定期購読の申し込みができます。
 
 「Insider's Eye」


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間
@IT