運用
HotFix管理を始めよう

2.HotFix管理支援ツール

デジタルアドバンテージ
2003/07/04


個人ユーザー向けのHotFix管理を支援するWindows Update

 以上、HotFixに関する情報を手作業で収集して、ダウンロード、適用するということは理屈の上では可能だが、現実的ではないことがお分かりいただけただろう。

 できるだけ少ない工数でHotFix管理を可能にするために、マイクロソフトはいくつかの無償ツールを提供している。そのうちの1つは、Windows Updateである。Windows Updateには次の2種類がある。

■Windows Update(Web版)
 このWeb版では、ActiveXコントロールを使ってローカル・コンピュータの状態を調べ、未適用の修正プログラムだけを表示して適用を可能にする。[スタート]メニューの[Windows Update](Windows XPでは、[スタート]−[すべてのプログラム]−[Windows Update])を実行することで起動できる。

Windows Update(Web版)
ActiveXコントロールを使ってローカル・コンピュータの状態を調べ、未適用の修正プログラムだけを表示して適用を可能にするツール。Service Packや、セキュリティ修正プログラム以外のHotFix、追加ソフトウェア、デバイス・ドライバの更新なども適用できる。

 このWeb版の特徴は、次の「自動更新」版とは異なり、Service Packが適用できることに加え、セキュリティ修正プログラム以外のHotFixや、追加ソフトウェア(.NET Frameworkなどの追加ソフトウェアなど)、デバイス・ドライバの更新なども適用できるという点だ。ただしこの機能を使ってソフトウェアをインストールするには、基本的にローカル・コンピュータの管理者権限が必要である。

■Windows Update(自動更新)
 これはWindows 2000 SP3およびWindows XPからサポートされるようになった機能である。この自動更新では、ローカル・コンピュータ側で常にWindows Update情報を検査するプログラムを実行しておき、新しいHotFixが公開されると適用可能状態になったことをユーザーに通知する(デフォルト時)。ただし、ユーザーが適用を指示するまではダウンロードやインストールは開始されない(設定を変更すれば、自動的にダウンロードして、無条件インストールさせることも可能)。

Windows Update(自動更新)
Windows Update情報を定期的に検査し、新しいHotFixが公開されると適用可能状態になったことをユーザーに通知する。ここでバルーン・ヘルプをクリックすれば、内容を確認してHotFixの適用(ダウンロードとインストール)を実行できる。

 Windows Update(自動更新)を利用する場合も、ユーザーにはローカル・コンピュータの管理者権限が必要である。

 Windows Update(自動更新)の致命的な欠点は、適用できるHotFixが大幅に制限されていることだ。具体的には、セキュリティ修正プログラムを含む「重要な更新」のみが対象である。Service Packや「推奨される更新」(アドイン・ソフトウェア)などは適用できない。また、IISはサポート対象だが、Exchange ServerやSQL Serverといったサーバ・ソフトウェアはサポート対象外である(これら向けのHotFixは適用できない)。

企業ユーザー向けのHotFix管理を支援するSUS

 Windows Updateは有用なツールだが、企業ユーザーにとっては重大な欠点がある。いずれの場合も、ユーザーにローカル・コンピュータの管理者権限を与えなければならないことだ。研究施設やプログラム開発会社など、エンドユーザーのコンピュータ利用スキルが高い場合には、各人に管理者権限を与え、それぞれWindows UpdateでHotFixを適用するよう促すことも可能だが、全体からみればこれは例外的だろう。多くの企業では、エンドユーザーに管理者権限を与えるなどもってのほかであるはずだ。

 このためマイクロソフトは、企業ユーザーをターゲットとするHotFix管理支援ソフトを無償提供している。これがSUS(Software Update Services)である。SUSの詳細については、すでにWindows Server Insiderで記事を公開しているので、そちらも併せて参照されたい。

 SUSを簡単にいえば、企業内部にHotFixの配布サーバを配置し(サーバにはIISを利用)、クライアント側では前出のWindows Update(自動更新)と同等のしくみ(実際、クライアント側のモジュールは同じである)を使うことで、企業内部でHotFixの配布と適用の集中管理を可能にするというものだ。マイクロソフト社のWindows UpdateサーバにあるHotFixのうち、どれをクライアントに適用して、どれを適用しないかを、SUSのサーバ側で制御することができる。適用するとされたHotFixは、自動的に各クライアントに送られ、適用が行われる。

SUSの構成
SUSは、マイクロソフト社のWindows Updateサーバから最新のHotfixを定期的にチェック、ダウンロードしてSUSサーバのディスク内に格納する。SUSのクライアントは、やはり定期的にIIS経由でSUSサーバ上の最新のHotfix情報を取得し、自身にインストールする。このとき管理者は、どのHotfixをクライアントにインストールするかをSUSのサーバ側で選択・指定することができる。企業内には、負荷を分散したり、ネットワークのトラフィックを抑えたりするために、子となる複数のSUSサーバを分散して配置することもできる。

 このシステムでは、実際のHotFixをインターネットからダウンロードするのは、最上位のSUSサーバだけであり、ほかのSUSサーバやSUSのクライアントは、親となるSUSサーバからHotFixをダウンロードする。先のWindows Updateでは各クライアントが直接インターネット(マイクロソフト社のダウンロードサイト)へアクセスしているが、SUSでは、インターネット回線の帯域を消費することなく、組織全体に効率よくHotFixを展開することができる。

 SUSの大きな特徴は、各クライアント・ユーザーには、管理者権限は不要だということだ。図のSUS配布サーバを管理する中央の管理者が、クライアント側に適用するHotFixを指定することができる。クライアント側の制御にはグループ・ポリシーを利用する。従ってSUSを利用するには、Windows 2000またはWindows Server 2003ベースのActive Directory環境が必要である。多数のクライアントを管理する場合には、図にあるとおり、社内に複数のSUS配布サーバを配置して、これらを階層的に管理することも可能だ。

 ただし、SUSにもいくつか重大な欠点がある。1つは、グループ単位で適用できるHotFixがオール・オア・ナッシングだということだ。つまり、適用するHotFixと適用しないHotFixをグループ(Active DirectoryのOU)単位でしか制御できないということである。現実のHotFix管理では、一部のクライアントにのみHotFixを適用して様子見し、問題がないようなら全社展開したりするのが一般的だが、SUSでは、サーバに配置したHotFixは同一グループのすべてのクライアントに適用されてしまう。

 またSUSでは、クライアントに対するHotFix適用が正常に完了したか、簡単に確認する手段が用意されていない。この意味で役立つ情報といえば、SUS配布サーバへのIISのアクセス・ログ程度であるが、HotFixのファイルがダウンロードされたことを確認することはできても(それも大変な作業である)、適用が正常に実行されたかどうかは直接クライアントを確認するしかない。あるいは、後述するMBSA(Microsoft Baseline Security Analyzer)などの別ツールを組み合わせる必要がある。

 さらに、SUSで適用可能なHotFixは、Windows Update(自動更新)と基本的に同じである。従ってService Packは適用できないし、サーバ・ソフトウェア向けHotFixも適用できない(Windows Updateは、基本的にクライアント・コンピュータを想定したサービスである)。IIS向けのHotFixは適用できるが、Exchange ServerやSQL Serverといったサーバ・ソフトウェア用のHotFixは適用できない。

 なお、SUSを利用可能なクライアントは、Windows 2000 SP2以上、IE 5.5以上の構成が必要だ。

HotFixの適用状況をリモートから確認するGUIツール、MBSA

 大量のクライアント・コンピュータを管理するために、最初に行うべき作業は、各コンピュータが現在どのような状態にあるのか、どのHotFixは適用済みで、どれがまだ適用されていないかを確認することだ。こうした目的に利用できるツールを持たなかったマイクロソフトは、当初はISVのShavlik社が開発したコマンドライン・ベースのHFNetChkというツール(後述)を提供していた。

 しかしその後、マイクロソフトは、HotFixの適用状況だけでなく、パスワード設定の強度(簡単に破られそうなパスワードが設定されていないか)、サービスの起動状況(不要なサービスが起動されていないか)、アプリケーション設定など(IISやSQL Serverの設定など)、セキュリティ関連のチェック項目を組織的に検査できるMBSA(Microsoft Baseline Security Analyzer)と呼ばれるGUIツールの無償提供を開始した。このMBSAには、HFNetChkと同等のシステム走査エンジンが含まれており、これを使ってHotFixの適用状況を確認するようになっている(検査用の情報ファイルも両者で共用している)。また最新版のMBSA(Ver.1.1.1)では、Windows Server 2003対応が行われた(それまで提供されていたのはVer.1.1)。

MBSA(Microsoft Baseline Security Analyzer)
HotFixの適用状況を始め、パスワード設定状況やサービスの起動状況など、クライアント・コンピュータのセキュリティ関連のチェック・ポイントをリモートから走査できる。

 ただしHotFix検査用の情報ファイルは日本語版向けのものが提供されているが、MBSA自体は英語版である。またMBSAをインストールできるのはWindows 2000、Windows XP、Windows Server 2003のみで、Windows NT 4.0にはインストールできない。ただし走査対象としてはWindows NT 4.0を含め、Windows 2000、Windows XP、Windows Server 2003を走査可能である(Windows 9x、Windows Meは対象外)。MBSAのダウンロードは、マイクロソフトの以下のサイトからできる。ただしMBSAのインストール直後のデフォルト状態では英語版のOSのみを走査対象としているので、日本語OSを走査するためには、日本語OS用のデータベース(mssecure.xmlファイル)を入手して利用する必要がある。

スクリプトなどで利用可能なHotFix管理用コマンドライン・ツール

 単機能だが、管理者にとってはむしろ使い勝手のよいコマンドライン・ツールも無償提供されている。コマンドライン・ツールのメリットは、独自のバッチ・プログラムなどからの利用が容易だということだ(ただしHotFixの適用状況の検出しか行えず、MBSAのような広範なセキュリティ・チェック機能は持っていない)。

■HFNetChk
 いま簡単に触れたとおり、リモート・コンピュータのHotFixの適用状況を確認するコマンドライン・ツールがこのHFNetChkである。以下のサイトから無償ダウンロードできる。

 走査対象OSはWindows NT 4.0、Windows 2000、Windows XPである。原稿執筆時点で提供されているのは2002年2月4日付のHFNetChk 3.32で、Windows Server 2003には対応していない。従ってWindows Server 2003を走査するには、前出のMBSA Ver.1.1.1が必要になる。

 HFNetChkでは、HotFixに関する最新情報のデータベースをインターネットからダウンロードして利用する。これについてもMBSAと同様に、デフォルトでは英語版OSを走査対象としているので、日本語版OSを走査するには、日本語データベースファイルをダウンロードしてインストールする必要がある。ただしこのデータベースは、リアルタイムに更新されているわけではない。明確にうたわれているわけではないが、緊急の更新があったときに更新されているという感じである。

 MBSAが持つ機能は、HFNetChkのスーパーセットとなっているので(MBSAに含まれるコマンドライン版のツールmbsacli.exeを使用すると、HFNetChkの機能をすべて利用できる)、マイクロソフトとしては、今後はMBSAの使用を推奨していくことになるようである。詳細については、以下のページを参照されたい。

■QChain
 同一ファイルの更新を含む複数のHotFixの適用を一度に指定したときに、間違いなく最新のファイルを適用できるようにするコマンドライン・ツールがこのQChainである。Windows OSでは、修正プログラムのインストールなどによって、使用中のファイルを置き換える必要が生じた場合、次回再起動時にファイルを変更するという機能を持っている(Pending File Rename機能)。修正プログラムを連続してインストールすると、Pending File Renameキューに順にファイルが追加されるが、同じファイルをいくつもの修正プログラムで上書きしようとしても、ファイルのバージョンには関係なく、最後のものだけが有効になる。QChainは、このキューを調べ、最新のものだけが残るようにキューを調整するプログラムである。。これにより、バージョンが異なるファイルを含む多数のHotFixを連続して適用する場合でも、再起動が1回で済む。QChainはマイクロソフトの以下のサイトから無償ダウンロードできる。

 ただしQChainは特定のインストーラ(hotfix.exe)にのみ対応しており、必ずしもすべてのHotFixに対応しているわけではないので注意が必要だ。

HotFix管理に使える有償ツール

 これまでに紹介してきたのは、すべて無償のツールだったが、有償販売製品の中にもHotFix管理機能を備えたものがある。ただし、HotFixの最新情報をタイムリーに反映しながらHotFix管理を行えるツールはまだそれほど多くない。

 マイクロソフトは、ネットワーク管理ソフトウェアのSMS(Software Management Server)に対し、HotFix管理機能を追加するアドイン・ソフトウェアの提供を開始した。これはFeature Packsと呼ばれるもので、具体的には“Software Update Services Feature Pack”と“Administration Feature Pack”の2種類が含まれる。このうち前者がHotFix管理機能を追加するものだ。このアドイン・ソフトウェアを追加すると、SMSのインベントリ(資産管理)機能にHotFixサポートが追加されるとともに、更新プログラムの配布ウィザードなどが追加される。

 これ以外にも、QND(クオリティ)やJP1(日立ソフトウェア)など、システム管理製品のインベントリ機能とアプリケーション配布機能を使って、HotFixの適用が可能な場合がある。ただしHotFixに特化された情報や機能が提供されない場合には、セキュリティ・ホール情報やHotFix情報の収集を手作業で行う必要があるし、展開用パッケージも自身で作成する必要がる。このため現実にはHotFix管理に利用するのは困難な場合が多い。

 こうした中、HotFix管理のみの単機能ながら、それに特化することで、HotFix管理にかかる手間を大幅に軽減してくれるツールが発売された。これはアップデートテクノロジー社が販売するUpdateEXPERT 5.1日本語版である。オリジナルは米St.Bernard社が開発した同名のソフトウェアで、これを日本語化したものだ。ネットワーク上のすべてのクライアントのHotFixの適用状態の調査やインストール作業などを、集中管理することができる。

HotFix管理ツールUpdateEXPERT
HotFix適用状況の情報収集やHotFix適用の自動化などを支援するツール。HotFix管理だけの単機能であるが、その代わり、HotFix管理の面倒な作業の多くを補助してくれる。
  ネットワーク・コンピュータ一覧。ここからコンピュータを選択し、HotFixの適用状況を調査し、必要なHotFixの適用を行える。
  HotFixの適用状況。左のコンピュータ一覧で選択したコンピュータのHotFix適用状況が一覧される。正常に適用されている場合には、一番左の丸印が緑色のランプに変わる。ここから適用したいHotFixを選択して、リモート・コンピュータに適用を指示することができる。
  で選択したHotFixに関するマイクロソフトのサポート情報ページが表示される。

 上の画面から分かるとおり、UpdateEXPERTではHotFixの適用状態調査からHotFixに関する情報収集、適用まで、HotFix管理に必要な作業のほとんどを1つのウィンドウ内部で実行可能にする。HotFixに関する情報は、アップデートテクノロジー社がインターネット上で運営するサーバからリアルタイムに提供されており、常に最新情報を元にHotFix管理が行える。UpdateEXPERTで管理できるOSは、Windows NT 4.0、Windows 2000、Windows XPで、ファイル・システムとしてはNTFSを利用している場合に限定されるが、SUSでは不可能だったService Packの適用や、Exchange ServerやSQL Serverといったサーバ製品の管理も行える。

 アップデートテクノロジー社サイトから、フル機能版のUpdateEXPERT(期間限定版)がダウンロードできる。

重大なトラブルが発生する前に、組織的なHotFix管理の準備を進めよう

 情報システムのセキュリティ管理は、あくまでトータルで対応しなければならない。ファイア・ウォールやウイルス対策ソフトを導入するだけでは不十分である。クライアント管理を鋭意行い、弱点となるセキュリティ・ホールを根本からふさがなければならない。

 しかし次々と公開されるHotFixを鋭意クライアントに適用するという作業には膨大なコストがかかる。このコストは、クライアント数に比例して増えるので、多数のクライアントを管理する大企業では特に負担が大きい。

 これに対しマイクロソフトは、Windows UpdateやSUSなどの無償ツールを提供し、より少ないコストでHotFix管理ができるように配慮している。しかしこれらの無償ツールは、大企業がクライアントを組織的に管理するという目的では、まだまだ十分な機能が提供されない。

 HotFix管理という分野で、いくつかの有償ツールも提供されるようになってきた。マイクロソフトは、ネットワーク管理製品のSMSに追加してHotFix管理をサポートするアドイン・ソフトウェアの提供を開始した。

 このほか、ネットワーク管理ソフトウェアでHotFix管理が可能とうたわれている場合があるが、単にアプリケーションの配布機能をHotFix管理に応用できるというだけで、情報収集や配布パッケージの作成などは手作業で実行しなければならず、作業工数はあまり低下しないケースもある。

 これに対しHotFix管理にフォーカスした製品が発売された。アップデートテクノロジー社のUpdateEXPERTは、HotFix管理のみに特化し、その代わりに、HotFix管理の面倒な作業を多角的に支援してくれる。

 まだ組織的なHotFix管理を行っていない管理者の方は、重大なトラブルに巻き込まれる前に対策を検討する必要があるだろう。


 INDEX
  [運用]HotFix管理を始めよう
    1.HotFix管理の必要性と混迷
  2.HotFix管理支援ツール
       コラム:HotFixの適用によってもたらされたトラブルの例
 
 運用


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間