修正プログラム／更新プログラム／パッチ管理

更新日：2006/03/31

サブディレクトリ

管理／調査／モニタリング に戻る

修正プログラム／更新プログラム／パッチ管理
	クライアント・コンピュータのパッチ適用状態を集中的に調査する（MBSA） マイクロソフトは、コンピュータへのパッチの適用状態、セキュリティ上の弱点などをリモートから調査するGUIツール、Microsoft Baseline Security Analyzer（MBSA） 1.2の無償提供を開始した。 ／ これを利用すれば、複数のクライアント・コンピュータのパッチ適用状態を集中的に管理することが可能になる。
	セキュリティ・パッチを適用する システムに重大なセキュリティ・ホールや障害が見つかると、セキュリティ・パッチという緊急の修正モジュールが提供されることがある／システムを安全に保つためには、常に最新のセキュリティ情報を収集するように努め、必要ならばパッチを適用しなければならない。
	セキュリティ・パッチの3つのレベル セキュリティ・ホールなどが発見されると、これに対処するためのパッチが公開される／しかし同じ問題を修正するパッチであっても、とにかく早期の対応を目指したもの、早期対応よりも信頼性を重視したものと、パッチにもレベルがある／セキュリティ・ホールの内容などによって、これらのパッチを適切に使い分ける必要がある
	WSUSサーバでクライアントが表示されない場合の対処法 WSUSは安価な修正プログラム管理ソリューションとして広く利用されている。 ／ ディスク・クローン・ツールなどでクライアント・コンピュータを展開した場合、WSUSサーバが管理用に使用しているレジストリ値が重複してしまい、WSUSサーバ側でクライアント・コンピュータが正しく認識されない場合がある。 ／ この問題を解消するには、関連するレジストリ値をいったん削除し、クライアント・コンピュータを再起動する
	Windows Updateを無効化する まだシステムに適用されていないhotfixを調査し、これをダウンロードして適用可能にするサービスとして、Windows Updateがある。 ／ 便利な機能なのだが、企業のクライアントに対し、ユーザー各自がWindows Updateを実行するのは難しい。 ／ そのような場合には、ユーザーによるWindows Updateの実行を禁止することができる。
	オフラインで修正プログラムを入手・適用する Blasterワームが猛威を振るった。こうしたワームの攻撃から身を守るには、最終的には攻撃の対象となるセキュリティ・ホールをふさぐしかない。 ／ これには、システムに修正プログラムを適用する必要があるのだが、そのためにWindows Updateを使うには、セキュリティ・ホールがある状態でインターネットに接続しなければならない。 ／ インターネットに接続せずに修正プログラムを適用するには、必要な修正プログラムを安全な環境でダウンロードしておき、これをCD-Rなどに書き込んで利用する。 ／ このような用途で、必要な修正プログラムを効率よく入手するには、TechNetセキュリティにある「製品別修正プログラム一覧」が便利である。
	Windows Updateのファイルを個別にダウンロードする Windows Updateを行うには、各マシンを直接インターネットに接続しておく必要があるが、遅い回線だったり、多くのWindowsマシンがあったりする場合には不便である。 ／ Windows Updateのモジュールを事前にダウンロードしておいて、そこから各マシンに適用することができれば便利である。 ／ Windows Updateのファイルを個別にダウンロードするには、Windows Updateをカスタマイズして、Windows Updateカタログを表示させる。
	Windows Updateの不要な項目を表示させないようにする Windows Updateでは、必須ではないが、インストールした方がよいとされる項目が［推奨する更新］として表示される。 ／ ［推奨する更新］をインストールしない場合、Windows Updateを実行するたびに表示されるので、少々煩わしいと感じられることもある。 ／ Windows Updateをカスタマイズすれば、［推奨する更新］に表示させないようにできる。
	ファイアウォールの空白時間に注意 Windows OS内蔵のファイアウォール機能には、システム起動時にサービスが開始するまで若干のタイムラグがある。このタイムラグの間にワームなどに感染する危険性があるので注意する。 ／ これを避けるためには、外部ルータを使ってパケットをフィルタするのがよい。 ／ システムのインストールやパッチの適用などは、インターネットから隔離された安全な場所で行うこと。
	修正プログラムをアンインストールする セキュリティ・ホールなどを解消する修正プログラムだが、適用によってシステムが不具合を起こす場合がある。 ／ 特定の修正プログラムを選択的にアンインストールする方法と、「システムの復元」により、コンピュータの状態を一括して以前の状態に戻す方法がある。
	Windows XP SP2のWindows Update／自動更新での適用を一時的に保留する XP SP2は、展開前に既存環境との互換性を十分テストする必要がある。 ／ しかしWindows Updateや自動更新機能により、エンドユーザーの簡単な操作でXP SP2が適用できてしまう。 ／ このためマイクロソフトは、管理者が検証を終えるまでこれらでのXP SP2の適用を禁止するしくみを作り、ツールを公開した。
	セキュリティ・パッチの適用状態を調べる― hfnetchkツールの使用法 ― システムに重大な影響を与えるセキュリティ・ホールや障害に対しては、ホットフィックスという修正モジュールが提供される。システムのセキュリティを安全に保つためには、ホットフィックスの速やかな適用が欠かせない／HFNetChkは、システムにまだインストールされていないホットフィックスの一覧を表示するためのツールである／ローカルやリモートのマシンを調べて、システムやIE、IIS、SQL Serverのホットフィックスの適用状態を調べることができる。
	グループ・ポリシーでWindows Updateの実行を禁止する インターネットでマイクロソフトが無償公開しているWindows Updateを利用すれば、Windowsを最新の状態に維持できる。 ／ しかしWindows Updateの実行には管理者権限が必要であり、パッチ管理を中央で集中化させたい場合にはなじまない。不用意な適用により、互換性問題が生じる場合もある。 ／ グループ・ポリシーを利用すれば、ユーザーによるWindows Updateの実行を禁止することができる。
	MDACのバージョン調査ツールを利用する MDACは、さまざまな種類のデータベースにアクセスするための、汎用的で統一的なインターフェイスの総称である。 ／ MDACには多くのバージョンが存在し、さまざまな製品とともに出荷されているので、システムにインストールされているMDACのバージョンも多岐に渡る。 ／ MDACのバージョンを調査するにはComponent Checkerツールが利用できる。
	「悪意のあるソフトウェアの削除ツール」をWebページから素速く実行する マイクロソフトが無償公開した「悪意のあるソフトウェアの削除ツール」を使えば、重大なウイルス／ワームにコンピュータが感染していないかどうかを確認できる。 ／ 当初はWindows Updateでの提供、またはダウンロード・センターからツールをダウンロードして実行するしかなかったが、その後Webページから実行可能なActiveXコントロール版が公開された。 ／ 操作が容易なので、初心者に実行を指示する場合などに便利である。

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）