運用

Microsoft Baseline Security Analyzer 1.2日本語版(前編)

―― ホットフィックスの適用状況を集中管理する ――

デジタルアドバンテージ
2004/01/28

 ここ数年、コンピュータのセキュリティ・ホールを攻撃するワームによる重大な被害がいくつも発生している。これに対しマイクロソフトは、ソフトウェアのセキュリティ・ホールを解消するためのホットフィックス(パッチ)を続々と公開している。

 たとえソフトウェアにセキュリティ・ホールが存在したとしても、使っている機能が正常に動作していれば、問題なくアプリケーションを実行し、日常業務を実行できる。むしろ、ホットフィックスを適用したことで、システム・ファイルが置き換わり、それまで問題なく実行していたアプリケーションが突然不具合を起こすという弊害がある。運良くこうしたトラブルとは無縁のユーザーもいるだろうが、不具合によって業務が停止するなど深刻な被害を受けたユーザーは思ったよりも多そうだ。本Windows Server Insiderフォーラムでは、これらホットフィックス適用による不具合について、隔週で情報を公開している。詳細は以下のページをご覧いただきたい。

 ワーム被害などが深刻でなかった従来は、「壊れていないものは直さない」という見かけ上のTCO向上のため、新たなセキュリティ・ホールが公開されてもそのまま放置される場合が少なくなかった。

 しかし前述したような重大なワーム被害の発生により、ひとたび事故が起これば、業務やセキュリティ・ホール対策、企業のイメージ・ダウンなどで大きなインパクトを及ぼすことが立証された昨今では、ホットフィックス管理は優先度の高い作業となった。

 マイクロソフトは、個人ユーザー向けのホットフィックス管理支援として、Windows Updateを提供している。Windows Updateはインターネットを通じてコンピュータに未適用のホットフィックスを検出し、必要なホットフィックスのダウンロードと適用を自動化するツールである。非常に便利なツールではあるが、システム・ファイルを更新するため、利用にはローカル・コンピュータの管理者権限が必要である。従って大量にある企業のクライアント・コンピュータを、一握りの管理者が集中管理するという用途には使えない。

 このような企業のネットワーク管理者がまず実行したいのは、自身が管理するネットワークに、どのようなリスクが存在するのかを把握することだ。これには、各コンピュータがすでに適用したService Packのバージョン、ホットフィックス(逆にいえば、まだ適用されていないホットフィックス)を集中的に知る手段が必要だ。このような目的に利用できるツールとして、マイクロソフトはHFNetChkと呼ばれるコマンドライン・ツールを無償適用していた。これはShavlik社が開発したツールで、インターネットからダウンロードしてきた情報ファイルを元に、コンピュータをスキャンし、適用済/未適用のホットフィックス一覧をレポートする。HFNetChkは、リモートから複数のコンピュータに対してスキャンを実行できる。このため管理者は、自身が管理するクライアント・コンピュータに対してHFNetChkをリモート実行することで、ホットフィックスの適用状況を集中管理することが可能だった(HFNetChkの利用方法については「TIPS―セキュリティ・パッチの適用状態を調べる - hfnetchkツールの使用法」を参照)。

 ただしHFNetChkはコマンドライン・ツールで、手軽に使えるツールとは言いがたい。これに対しマイクロソフトは、HFNetChkの機能に加え、ホットフィックス情報だけでなく、コンピュータのセキュリティ上の弱点(ガードが甘いパスワード設定など)を幅広く検査する機能を持たせたGUIツールとしてMicrosoft Baseline Security Analyzer(MBSA)を開発、公開した。MBSAは便利なツールなのだが、当初日本語環境に正式に対応したバージョンは公開されず、完全な機能を利用することはできなかった(米国版を実行し、一部の機能を利用することは可能だった)。

MBSA 1.2日本語版
ホットフィックスの適用状況、セキュリティの弱点などをリモートから調査し、結果をグラフィカルに表示することができる。

 今回(2004年1月)公開されたMBSA Ver.1.2は、正式な日本語版が提供される最初のバージョンになる。原稿執筆時点では、スキャンに用いる日本語環境向けデータベースはまだ開発途中版とのことだが、実行プログラムの方は最終版である。またこの最新のVer.1.2では、Officeアプリケーション、Exchange ServerやBizTalkなどのサーバ・ソフトウェア、MDAC(Microsoft Data Access Components)やMicrosoft VM(Java対応仮想マシン)などのコンポーネント対応なども追加された(以下、本稿で「MBSA」と表記した場合には「MBSA Ver 1.2」を指すものとする)。

 本稿では、主にホットフィックス管理機能に注目しながら、新しく登場したMBSAの概要をお届けする。

 

 INDEX
  [運用]
Microsoft Baseline Security Analyzer 1.2日本語版(前編)
    1.MBSA 1.2の入手方法と必要環境
    2.MBSA 1.2の動作原理と動作モード
  Microsoft Baseline Security Analyzer 1.2日本語版(後編)
    1.GUIモードによるMBSAの実行
    2.コマンド・モードによるMBSAの実行
 
 運用


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間