「Microsoft Tech・Ed 2004 Yokohama」が開幕した。セキュリティについてのセッションでは、クライアントセキュリティの講座が連続して用意された。その多くは、ソフトウェア更新の管理に割かれた。
「Microsoft Tech・Ed 2004 Yokohama」が開幕した。クライアントPCのセキュリティ対策について2講座連続で開かれ、クライアントセキュリティの多層防御という視点で、機能が紹介された。なかでも最も時間を割かれたのが、ソフトウェア更新の管理。
マイクロソフトでは、セキュリティパッチの更新のために、現在3つの方法を用意している。「Windows Update」「Software Update Service」(SUS)、「Systems Management Server 2003」(SMS)だ。
規模によりこれら3つを使い分けると、効率的にセキュリティパッチの配布・適用が可能だ。推奨されていた規模とソリューションの関係は、表の通り。
規模 | シナリオ | ソリューション |
---|---|---|
コンシューマ | すべてのシナリオ | Windows Update |
小規模 | Windowsを実行するサーバがない | Windows Update |
小規模 | Windowsを実行する1〜3台のサーバと少なくとも1名のIT管理者が存在する | SUS |
中規模または大規模 | Windows 2000およびそれ以降のバージョンのWindowsを更新する基本レベルの制御を備えた更新管理ソリューションが必要 | SUS |
中規模または大規模 | すべてのソフトウェアの更新(と配布)を制御する拡張レベルを備えた単一の柔軟な更新管理ソリューションが必要 | SMS |
Windows Updateは、コンシューマとWindowsサーバのない環境で有効だ。XP SP2からは自動更新機能がデフォルトで自動(オン)に設定されているが、この機能では4つの動作を選べる。[自動]とスケジュール/[更新を自動的にダウンロードするが、インストールは手動で実行する]/[更新のみを通知するのみで、自動的なダウンロードおよびインストールは実行しない]/[自動更新を無効にする]。
これら4項目のうち、管理者権限がなくてもパッチが適用までなされるのは、[自動]だけ。そのほかの項目は管理者権限がないと適用されない。また、管理者が承認したパッチのみを適用するといった柔軟性はないため、多くのクライアントPCを抱える企業には、あまり適していない。
一方、マイクロソフトから提供されている無償ツールのSUSは、管理者が承認したものをクライアントPCに適用できるだけでなく、最新の状態を維持するための工数を減らせる。Windows Updateサービスを社内に立てるようなもので、多くのクライアントPCがパッチのダウンロードのために、一斉にインターネット経由でWindows Updateサービスへ接続して、帯域を圧迫するようなことがない特徴がある。
だが、パッチを取りに行くタイミングは、クライアントの自動更新機能を利用するため、管理者のプッシュ型での配信する機能は備えない。ほか、自動更新設定は、デフォルトではWindows Updateサービスに取りに行くようになっている。ドメイン内ではActive Directoryのグループポリシーで変更したり、ドメイン外ではレジストリを変更する必要が出てくる。
現バージョンでは、ターゲットの設定ができないため、グルーピングして配布するような場合には、配布したいグループごとにSUSを立てる必要があるという。次バージョンでは、このターゲティング機能や、どのマシンに適用したのかが分かるレポート機能などが追加される予定だ。
SUSは、セキュリティ構成分析ツール「Microsoft Baseline Security Analyzer」(MBSA)と併せて利用できる。SUSサーバを利用するための項目をチェックすれば、必要なパッチが適用されているかを確認できる。MBSAでは、未適用パッチだけでなく、パスワードの脆弱性などのチェックにも活用可能だ。
MBSAを実行するには、ターゲットPCの管理者権限が必要だ。ドメイン内であれば、ドメイン管理者が実行する必要がある。
一方、有償のサーバ製品SMSは、クライアントPCのインベントリを幅広く収集する。また、その収集したインベントリを活用して、ターゲットごとのソフトウェア配布・強制インストールが行える。例えば、特定のサブネットにあるメモリ256Mバイト以上のPCに、Office 2003を配布するといったことが可能だ。
この機能をセキュリティパッチ配布に利用すれば、SUSではできなかった柔軟なターゲティングで、配布ができる。強制インストールもできるため、緊急を要する場合にも対応可能。MBSAスキャンも実行でき、スキャン結果は、インベントリの1つとしてデータベースに保持される。配布失敗などの状況も、自動収集できるなどのメリットもある。
Active Directoryとプラスして利用すれば、OU(組織単位)を利用した階層管理が可能という。
講演では、そのほかクライアントPCのデータ保護の面から、NTFSアクセス許可/暗号ファイルシステム(EFS)や、Windows Rights Management Service(RMS)など、多くの機能が紹介された。
Copyright © ITmedia, Inc. All Rights Reserved.