エンタープライズ:ニュース 2003/02/14 21:17:00 更新


管理者を悩ませるパッチ適用作業を支援する「SUS」と「SMS」

ESC2003の2日目に行われたセッション、「Systems Management Serverを利用した修正プログラムの適用管理と一括適用」では、コンサルティング本部プリンシパルコンサルタントの大村隆浩氏が、パッチ適用作業という難題を支援するツール群を紹介した。

 2月13日から開催されている「EDC2003(Enterprise Deployment Conference)」では、2日目もまた、テーマごとに多数のセッションが開催された。中でもセキュリティ管理者にとっては注目すべき内容が盛り込まれていたのが、「Systems Management Serverを利用した修正プログラムの適用管理と一括適用」だ。

 セキュリティ面でのリスクがますます高まっている今、パッチの適用作業が、管理者にとって悩ましいタスクの1つであることに異論はないだろう。

 セキュリティ対策の基本の1つは、常に最新のパッチを適用し、セキュリティホールを塞いでおくことだ。しかし、あのSlammerワームが悪用したセキュリティホール(MS02-039)を塞ぐためのパッチでも、またつい先日公開された、Internet Explorer用の累積的な修正プログラム(MS03-004)でも、パッチを適用できない、あるいは適用したことでかえって不具合が生じるといった問題が指摘されている。こうした状況では、安定運用という観点からは、安心してパッチを適用することができない。かといって、既知のセキュリティホールをいつまでもそのままにしておくわけにもいかない。

 マイクロソフトもこの問題は認識しているようだ。同社コンサルティング本部プリンシパルコンサルタントの大村隆浩氏は、セッションの中で、パッチ適用作業には「適用したことによる副作用の恐れがあるほか、どのPCにどのパッチを当てるべきかを判断できないといった課題がある」と述べた。さらに、いざパッチを適用しようとしても、ローカルユーザーにAdministrator権限が与えられておらず作業できなかったり、逆にユーザーにとってパッチ適用作業の負荷が大きすぎるといった問題もあるという。

edc_omura.jpg

 大村氏は、パッチ適用にはこのようにさまざまな課題があるが、だからといって何も対策をせず、パッチを当てないという選択にはリスクが付きまとうとも述べている。

 そもそも、パッチ適用の前提となる、マシンの状態把握も十分にできていないケースが多いと大村氏は言う。「PCの管理者は誰で、用途は何か。どんなOSやアプリケーションが搭載されており、パッチの適用状況はどうなっているのか。それが把握できていないと、どのマシンにパッチを適用すべきかが分からないうちに、ワームの感染がどんどん広まってしまう。まず状態を把握しないことには、即時対応を取りたくても取ることができない」(大村氏)。

 では、とインベントリ管理を定期的に行い、問題が起きた際にパッチ対象となるマシンをすぐ特定できたとしても、そのまま適用できるわけではない。まずはラボ環境などで検証を行い、副作用が出ないかどうかを確認する。さらに「1週間程度パイロット環境で動かしてみて、問題がなさそうだとわかった時点で、全社的に展開するというやり方でもいいのではないか」と大村氏は述べている。

 この1週間という期間には異論もあるだろう。だが「セキュリティホールが公開されてから、1週間以内にそれを悪用したワームや攻撃が登場するケースはあまりない。たいていの場合、悪用されるのは発見から半年前後たったセキュリティホールだ」(同氏)という。ラボ環境で少し動かしただけでは、何が起こるかは予測できないことも考え合わせると、こうした段階的な展開が望ましいという。

 結局のところ、セキュリティホールをきちんと塞ぎ、いざというときに速やかに対処するには、日ごろから定期的に、システムにどんなマシンがあり、どんな状態にあるのかを把握しておく。そしていざパッチがリリースされた場合には、検証作業と何か問題が生じたときに元の状態に戻せるロールバックの手順を抑えたうえで、適用するべきだというわけだ。

継続的かつ組織的なパッチ適用を支援

 しかしながら、これら一連の作業を真面目に手動でやろうとすると、その負荷は相当なものになる。

 パッチ適用作業自体、非常に面倒な作業だ。ログオンスクリプトやグループポリシーを活用するとしても、継続的な運用となると困難である。エンドユーザーにとっても、システム管理者にとっても、またシステムリソースにとっても負担が大きい。この問題を解決するには、何らかの自動化・統合ツールが欠かせない――こうした結論に至るのは、自然の流れだろう。

 マイクロソフトでは、こうした背景を踏まえ、複数のツールを提供している。

 まず1つ目が、おなじみの人もいるであろう「HFNetChk」だ。コマンドラインベースで動作し、ローカルマシンやリモートのPCをスキャンしてパッチの適用状態を把握するこのツールは、「現時点では最も有効なツール」(大村氏)という。ただし、HFNetChkが基準とするXMLファイル(ベースラインとなるファイル)とパッチの公開状況がずれると、役に立たないのは言うまでもない。

 また同氏によると、HFNetChkがこれ以上アップデートされることはなく、順次、2つめのツールである「MBSA(Microsoft Baseline Security Analyzer)」に移行していくという。MBSAを単純に表現すれば、HFNetChkの機能をGUIで提供するもの、である。

edc_mbsa.jpg

 3つめは、おなじみ「Windows Update」だ。そして、単独での対応にとどまらず、大規模なシステム・組織でのパッチ配布を効率化してくれそうなのが、「Software Update Service(SUS)」「Systems Management Server(SMS)」である。

 SUSは、簡単に表現してしまえば、Windows Updateで利用するパッチ配布用サーバを社内ネットワーク内に構築できるようにするツールである。これにより、インターネットトラフィックに与える負荷を軽減できるが、一方で、対象となるOSや配布パッケージに制限がある(Serivce PackやOffice製品向けのパッチは対象外)ことなどがネックとなる。また、パッチの適用がうまくいったかどうかを確認する機能もなく、SUSが利用するIIS(Internet Information Service)のテキストログを見て判断するしかないという。

 一方SMSは、ハードウェアやシステム情報などさまざまなインベントリを収集・把握するほか、アプリケーションの配布・実行機能も備えたツールだ。ここでは「アプリケーション」と表現したが、SMSでは任意のプログラム――ウイルス対策ソフトによる強制スキャンなども含む――を、任意のグループに対し、任意のタイミングで実行できる。大村氏が先に述べた、インベントリの収集からパッチ適用対象の確定、配布物のパッケージ化から配布、実行、作業完了の確認といった一連の流れを全般に渡って支援することができる。SUSの機能を補完し、より高度なパッチ配布を実現するものといえるだろう。

 2002年12月には、SMSのアドオンツールを集めた「SMS Feature Packs」が公開されている。この中には、セキュリティ更新インベントリツールやソフトウェア更新の配布ウィザード、Webレポーティングツールなど、さらに有用なツール群が含まれているという。これによりパッケージの作成作業が容易になるほか、うまく設定を行うことで無人でのXMLファイル同期などが可能になるということだ。

 システム管理者にとっては頭の痛いパッチ適用作業。もちろん、適用にまつわる情報が適切に、分かりやすく提供されることが大前提となるが、こうしたツールをうまく活用することで、少しでも作業負担が軽減され、容易かつ高度なパッチ配布・適用が実現されるよう期待したい。

関連リンク
▼Microsoft Enterprise Deployment Conference 2003
▼マイクロソフト

[高橋睦美,ITmedia]