第2回 MSの無償ツールを使ってパッチマネジメントを行う：特集：効率的なパッチ適用、管理の実現に向けて（2/2 ページ）

[磯 貴浩（ラック），ITmedia]

　SUSによって適用できるアップデートの種類は、以下のとおりだ。

- Windows重要な更新プログラム

- Windows重要なセキュリティ修正プログラム

- Windowsセキュリティロールアップ

- Windows2000、Windows XPおよびWindows Server 2003のサービスパック

　また、SUSでサポートされているOSとサポートされていないOSは以下の通りだ。残念ながらSUSでサポートされていないOSに対しては、個別にWindows Updateを行うか、または手動でセキュリティパッチをダウンロードし、適用する必要がある。

サポートの有無	OSの種類
サポートされているOS	Windows 2003 Server
	Windows XP Professional/Home Edition
	Windows 2000 Server/Professional
サポートされていないOS	Windows ME
	Windows 95/98
	Windows NT

SUSでパッチ配布が可能なOSとそうでないOS

SUSがもたらすメリット

　以上のように、個々の端末でWindows Updateを行う代わりに、SUSサーバをイントラネットに設けることにより、前述したWindows Updateの問題点をほとんど解決することができる。

1.セキュリティパッチ配布の管理が容易になる

　クライアントPCに配布するセキュリティパッチを、SUSサーバで設定することが可能である。このことにより、クライアントPCに適用すると業務に不具合が発生するセキュリティパッチを事前に配布しない、などの設定を行い、不具合を未然に防ぐことが可能である（画面2）。

画面2●SUSの画面。配布するセキュリティパッチを選択しているところ

　遠隔地に事務所などがある場合や、クライアントPCが多くて1台のSUSサーバへのアクセス集中を避けたい場合、各拠点や部署ごとにSUSサーバを設置し、運用することも可能である。SUSサーバがそれぞれWindows Updateのサイトにアクセスするのではなく、社内のマスターとなるSUSサーバ（このサーバがWindows Updateのサイトに定期的にアクセスしている）に接続して、クライアントPCに配布するパッチを入手するという構成だ。このような方法を取れば、本社と各拠点で配布するセキュリティパッチを統一することが可能である。

2.クライアントPCがインターネットに接続する必要がない

　SUSを使用する場合、クライアントPCはイントラネットにあるSUSサーバから、セキュリティパッチのダウンロードおよび適用を行う。よって、クライアントPCが直接インターネットに接続する必要はない。

3.ネットワーク負荷の軽減

　ここまで説明してきたとおり、Windows UpdateのサイトからセキュリティパッチをダウンロードするのはSUSサーバのみ。あとはイントラネット内でトラフィックが完結する。このため、ネットワーク負荷が大幅に軽減される。

4.端末の管理者権限が不要

　自動更新機能の設定で「更新を自動的にダウンロードして、指定したスケジュールでインストールする」を選んでおけば、ユーザー権限でPCにログインしていても、自動更新機能によって自動的にセキュリティパッチのダウンロードと適用が行われる。

MBSA（Microsoft Baseline Security Analyzer）

　MBSAは、Windowsのほか、PCにインストールされているInternet ExplorerやIIS、SQL Serverのバージョンやパッチ適用状況を調査するツールだ。これを利用すれば、調査対象のPCにセキュリティホールがないかどうかを確認できる（画面3）。MBSAを搭載し、実行するPC（ローカルPC）以外に、ネットワーク上にある複数のPCに対して調査を行うこともできる。

最新バージョンであるMBSA 1.2を実行してみたところ

　MBSAによって、イントラネット内のPCのセキュリティパッチ適用状況や、Windowsやその他ソフトウェアのセキュリティ状況を調査し把握することができる。先日リリースされた新バージョンでは、セキュリティホールの有無の検査以外に、いくつかの機能が追加された。

　MBSAの主な機能は以下のとおりだ。

1.Windows、IIS、SQL Server、Officeなどのセキュリティチェック

　代表的なものとして、以下の項目について調査が行える。

- Windowsの"Guest"アカウントが有効か無効かどうか、ファイルシステムのタイプ、使用可能なファイルの共有、Administratorグループのメンバーなど

- IISのサンプルアプリケーション、仮想ディレクトリなどのセキュリティの問題

- Microsoft SQL Serverの認証モードのタイプ、SAアカウントのパスワードなど

- Internet Explorerの各ローカルユーザーのゾーン設定、Officeのマクロ設定

2. セキュリティパッチの適用状況の確認

　MBSAは、マイクロソフトより提供されているセキュリティパッチ情報ファイル（mssecure.xml）をダウンロードし、そのファイルを利用してPCに、最新のセキュリティパッチが適用されているかどうかを確認する（図2）。したがって、MBSAをきちんと運用するには、最新のパッチ情報ファイルを入手しておくことが重要だ。

図2●MBSAの動作の仕組み

SUSとMBSAを利用したセキュリティパッチマネジメント

　SUSとMBSAを組み合わせて使用することにより、図3のようなパッチマネジメントを実現できる。SUSでは、パッチ配布がきちんと完了したかを確認するのは困難なのだが、SUSで配布しているセキュリティパッチについてのみMBSAで各端末に対する調査を行い、セキュリティパッチが適用されているか確認する、といった運用が可能だ。

図3●SUSとMBSAを利用したセキュリティパッチマネジメント

　この構成では、SUSによって配布するセキュリティパッチの一元化、管理者権限の問題を解決するとともに、MBSAを用いることでクライアントPCのセキュリティパッチの適用状況を把握できるようになる。前回触れた、パッチマネジメントにまつわる問題の大半が解決できるわけだ。

　ただし、この構成でも、

- 配布が可能なのはWindows OSのセキュリティパッチのみで、Word、Excelなどその他のソフトウェアのパッチには対応していない

- SUSを使用した場合、セキュリティパッチの「即時」適用はできない

- MBSAで各クライアントPCにセキュリティパッチが適用されているかを調査する際には管理者権限が必要

などの問題点がある。

　しかしながら、SUS、MBSAともにマイクロソフトから無償で提供されており、導入への敷居は低いと考えられる。セキュリティパッチマネジメントに対してまだ何も手を打っていないネットワーク管理者は、まずこの2つのツールを組み合わせて、パッチマネジメントの第一歩を踏み出すのも一つの手だ。