パッチマネジメントというと複雑なシステムが必要だという印象があるかもしれないが、手を打てるところから少しずつ対応していくことだって可能だ。その代表例として、マイクロソフトが提供する無償ツールを組み合わせてのパッチ管理を紹介しよう。
前回はパッチマネジメントがなぜ重要か、その理由を説明するとともに、今のパッチマネジメントをめぐる問題点について紹介した。今回は、マイクロソフトより無償で提供されているパッチマネジメントに効果的なツールについて見ていこう。具体的には、「Windows Update」とその自動更新機能、および「Software Update Services(SUS)」「Microsoft Baseline Security Analyzer(MBSA)」である。
昨年のワーム騒ぎ以降、盛んにマイクロソフトによって推奨されるようになった「Windows Update」。これは、Windows OSと、OSと密接に関連したInternet Explorerなどのソフトウェアに対応した、最新のセキュリティパッチおよびドライバなどをユーザーに提供する機能である。
Windows Updateがリリースされる以前は、マイクロソフトからセキュリティパッチが公開されても、適用するにはいくつかのステップが必要だった。まず、セキュリティホール情報が提供されているサイトから、自分が利用しているOSに対応したセキュリティパッチを選び、ダウンロードしてから適用するという手順を踏まなければならなかった。PCの操作に不慣れなユーザーにとっては手間の掛かる方法だ。
これに対しWindows Updateは、パッチ適用作業をかなりの程度自動化してくれる。
まず、ユーザーがInternet ExplorerでWindows Updateのサイトにアクセスする。するとWindows Update用のActiveXコントロールがPCにダウンロードされる。ダウンロードされたActiveXコントロールが、PC上のOSやInternet Explorerといったソフトウェアの状況を調査し、必要なセキュリティパッチやドライバ、新しく追加された機能を表示する。その中からユーザーが必要なものを選択すると、自動的にそれらが適用される仕組みだ。
このようにWindows Updateは、動作の仕組み上、Internet ExplorerでActiveXコントロールが実行できることが前提となっている。ただし、ActiveXコントロールの実行を可能にしておくと、ユーザーがそれと知らずに悪意あるActiveXコントロールを実行してしまうなど、セキュリティ上の問題が発生する可能性もある。このような事態を防ぐために、Internet Explorerでは基本的にActiveXコントロールの実行を無効に設定しておき、例外処理としてWindows Updateのサイトを信頼済みサイトに追加し、そこでのみActiveXコントロールが実行できるようにしておくほうが望ましい。
Windows Updateをイントラネットで使用する場合、セキュリティパッチマネジメントの観点から見るといくつかの問題点がある。
1.パッチの適用状況が把握できない
前回にも述べたが、Windows Updateの仕組みでは、ユーザーがそれぞれWindows Updateのサイトにアクセスしてセキュリティパッチを適用する。このため、ネットワーク管理者が「誰が」「どの端末に」「どのパッチを当てているか」といった情報を一元的に把握することはできない。
2.クライアントPCがインターネットに接続している必要がある
Windows Updateを利用するときには、各PCが直接Windows Updateのサイトにアクセスする。つまり、インターネットへの通信が不許可となっている、または遮断されているネットワーク環境の場合は、Windows Updateを実行できない。
また、昨年Blasterワームが発生した際、ワームの社外への感染を防ぐためにインターネットへの通信を遮断したがために、Windows Updateを実行できず、セキュリティパッチの即時適用もできない、といったケースもあった。
3.ネットワーク負荷の問題
Windows Updateでは、細かなパッチだけでなく、Service Packのような大きなサイズのファイルをダウンロードする場合がある。
また、マイクロソフトは月に1度(日本時間だと第二水曜日)、定期的にセキュリティパッチをリリースしている。イントラネット内のクライアントPCの台数が多いと、セキュリティパッチのリリース日に一斉にダウンロードを始めると、インターネットとの境界にあるゲートウェイ機器に非常に大きな負荷がかかり、ネットワークの遅延などの障害が発生する場合がある。
4.管理者権限が必要
パッチを適用するためには管理者権限が必要である。前回にも述べたが、万一この状態を悪用されると、業務に無関係なソフトウェアや悪意あるソフトウェアをインストールされ、しかも管理者権限で動作させられるなど、別の重大なセキュリティホールになる可能性がある。
Windows Updateはデフォルトでは、ユーザー自らが実行し、セキュリティパッチを選択し、適用しなければならない。自動更新機能はこういった操作をユーザーに代わって行うものだ。つまり、システムが定期的にWindows Updateのサイトにアクセスし、バックグラウンドで最新のセキュリティパッチのダウンロードを行い、適用してくれる。
自動更新機能では、更新のタイミングと更新時の動作について、以下の3通りの設定の中から選択できる(画面1)。
- 更新をダウンロードする前に通知し、コンピュータにインストールする前に再度通知する
- 更新を自動的にダウンロードして、インストールの準備ができたら通知する
- 更新を自動的にダウンロードして、指定したスケジュールでインストールする
このうち3番目の「更新を自動的にダウンロードして、指定したスケジュールでインストールする」を選択すると、対応したセキュリティパッチがリリースされた際に、指定された時間に自動的に適用が行われるようになる。普段ディスプレイの前で作業することが少ない端末、たとえばサーバなどでこの設定を行っておくと、「セキュリティパッチの適用をうっかり忘れる」といったケースを防止できる。
しかしセキュリティパッチの内容によっては、適用後、自動的に再起動を行うものもあるので注意が必要だ。
たとえば重要なサーバ、勝手に再起動されては困るサーバならば、「更新を自動的にダウンロードして、インストールの準備ができたら通知する」に設定しておき、管理者の目の届くときに手動でセキュリティパッチを適用するほうがいいだろう。一方、部門内のファイルサーバなど、深夜使用されていない時に再起動しても問題ないサーバならば、前述のとおり「更新を自動的にダウンロードして、指定したスケジュールでインストールする」に設定しておき、適用を自動化するという運用方法がある。
ちなみに、この8月にリリースが予定されているWindows XP Service Pack 2では、自動更新機能をより細かく設定できるようになるなど、Windows Updateも強化される予定である。その先に予定されている拡張版Windows Update――Microsoft Updateでは、Microsoft Office、Microsoft SQL Server、MicroSoft Exchangeなど、OS以外のソフトウェアに対するセキュリティパッチにもサポートが拡大される予定だが、リリース時期はやや先になる見込みだ(7月15日の記事参照)。
SUS(Software Update Services)とは、Windows Updateのサイトと同様の機能を提供するサーバをイントラネット内に構築できるソフトウェアである。
SUSサーバの動作に必要な環境だが、マイクロソフトの情報によるとハードウェアとしてはPentium III 700MHz以上のプロセッサ、512MBのメモリ、ハードディスクには6GB以上の空き容量が必要になる。メモリを除けば、最近登場したサーバ/ワークステーションの新モデルならばほぼ問題はなく動作するだろうが、過去利用していたサーバを使いまわす場合などは、次々にリリースされるセキュリティパッチを格納する必要があるため、ハードディスクは余裕をみて選択した方がよい。OSはWindows 2000 Server Service Pack 2以降が必要で、さらにIIS(Internet Information Services)が有効になっている必要がある。
SUSサーバは、マイクロソフトのWindows Updateのサイトに定期的にアクセスする。最新のセキュリティパッチがマイクロソフトのWindows Updateのサイトにリリースされた場合は、それをダウンロードし、SUSサーバのデータベースに格納する(図1)。
SUSサーバにアクセスしてセキュリティパッチのダウンロードと適用を行うクライアント側では、前述したWindows Updateの自動更新機能を使用する必要がある。ここでSUSサーバに接続するための設定やセキュリティパッチを適用するスケジュールなどを設定しておくと、指定された時間に必要なセキュリティパッチのダウンロードが行われ、適用されるという流れだ。
なお、Active Directory環境では、グループポリシーの設定により、ドメインに属しているクライアントPCに対し自動更新機能の設定を行うことが可能である。この設定により、クライアント側では自動更新機能の設定変更ができなくなる。つまり、エンドユーザーが勝手にクライアントPCの設定を変更してセキュリティパッチが適用されなくなる、といった状態を防ぐことができる。
Active Directory以外の環境でも、クライアントPCのレジストリを変更することで、同様に自動更新機能の設定が可能だ。ただ、この場合、クライアントPCそれぞれでレジストリを設定することになるため、PCの台数が多くなればなるほど管理者の手間が大きくなる。もし、ユーザーが管理者権限でクライアントPCを扱っている環境であれば、設定した部分のレジストリをファイルに書き出して、そのファイルをメールに添付するといた形で配布し、クライアントPCに取り込んでもらうという手もある。
Copyright © ITmedia, Inc. All Rights Reserved.