リブートの制御も含め「より柔軟なパッチ管理を」とShavlikのシュルツ氏

米Shavlik Technologiesのチーフ・セキュリティ・アーキテクト、エリック・シュルツ氏が、パッチ管理ツール「HFNetChkPro」の今後のロードマップを語った。

[高橋睦美，ITmedia]

　「マイクロソフトではパッチの月例アップデートを行い、さらにセキュリティ関連情報の事前告知まで開始している。にもかかわらず、いまだにパッチを適用しないユーザーは存在する。引き続きパッチマネジメントの必要性を訴えていきたい」――。

　このように語るのは、パッチ配布／管理ソフト「HFNetChkPro」を提供している米Shavlik Technologiesのチーフ・セキュリティ・アーキテクト、エリック・シュルツ氏だ。同氏は、HFNetChkProのバージョンアップや管理コンソールの提供、さらにはマイクロソフトが展開するセキュリティ技術「Network Access Protection（NAP）」やSystem Management Server（SMS）との連携を通じて、パッチマネジメントを支援していく考えを示した。

パッチ適用後の「リブート」を制御

　HFNetChkProは、Windows端末の構成や状態をスキャンし、それを元に必要なパッチを配布、適用するパッチ管理ツールだ。特徴としては、専用エージェントなどをインストールする必要がないこと、Windows 95やWindows NT 4.0といったマイクロソフトの「サポート外」となるプラットフォームも含め、幅広いOSをサポートしていることなどが挙げられる。

　直近のマイナーバージョンアップとなるバージョン4.3 日本語版では、Windows OSやInternet Explorer、Officeスイート、JVMやMDACといった主要コンポーネントに加え、VisioやProject、Host Integration Serverといったアプリケーションをサポート。さらに、ApacheやWinZipのほかAdobeやMacromedia製アプリケーションなど、マイクロソフト以外のソフトについても検査／パッチ配布対象に加わる。

　その先の2005年第1〜2四半期（日本語版は第2四半期を予定）には、メジャーバージョンアップとして「HFNetChkPro Version 5.0」がリリースされる計画だ。エリック氏によるとバージョン5.0では、端末のパッチ適用状況を調べるスキャン作業を高速化するほか、顧客企業のニーズに合わせた柔軟なパッチ管理を支援する機能が追加されるという。

　たとえば、Webベースの管理インタフェースが強化され、カラフルな円グラフや棒グラフによって社内のパッチ適用／未適用状況を一元的に把握できるようになる。「システムインベントリ情報」「もっとも脆弱性の多いマシンワースト10」といったさまざまなレポートを確認でき、これらを電子メールで送付することも可能という。

　また、パッチ適用における最大の問題点ともいえる「リブート」をコントロールする機能が加わる。かねてから搭載が予定されていた「SafeReboot」と呼ばれる機能により、パッチ適用後の再起動のタイミングを管理者が指定できるようになる。管理者がこうして指定した時間に、エンドユーザーが何らかの作業を行っていてシャットダウンを行いたくない場合、再起動を「延期」させることも可能だ。

　「SMSやWindows Updateに比べ、より柔軟なパッチ管理が可能になる」（エリック氏）。

　他に、遠隔地にある拠点でのパッチ適用を支援する「リレーサーバ」やスケジューラの強化、マシン入れ替えやリースといった環境に適した新たなライセンス体系の導入など、数多くの機能強化が図られる計画だ。

SMSやNAPとの連携も

　「パッチ適用を効率的に行いたい」という声に応え、マイクロソフト自身もさまざまな取り組みを進めている。その1つが、11月にベータ版が公開された「Windows Update Services」だ。

　しかしながらエリック氏は、「私もWindows Update Servicesベータ版を試してみたが、今のところExchange Server 2000やSQL Server 5.5といった古いアプリケーションなどが含まれていない。（正式版になったとしても）マイクロソフトがすべてのアプリケーション、すべてのバージョンをサポートするわけではない」と指摘。Shavlikでは、Windows NT 4.0をはじめとする古いプラットフォームや、マイクロソフトが推奨する「最新の状態」以外のシステムをも対象にしていくと述べた。

「米国でもまだWindows NT 4.0 Workstationが現役で動いているシステムは多い」というエリック氏（左）と同社のビル・ズルコスキー氏

　ただしこれは、マイクロソフトとの対立を意味するものではない。むしろ逆で、緊密に協力していく方向だという。そもそも、MBSA（Microsoft Baseline Security Analyzer）やSMSのベースには、Shavlikの技術が利用されているくらいだし、エリック氏自身、かつてはMicrosoftに在籍していた。

　「マイクロソフト以外のアプリケーションをサポートするHFNetChkProとWindows Update Serviceを一緒に利用すれば問題ない。またわれわれは、SMS経由でダウンロードを行えるようなプラグインも提供している」（エリック氏）。

　リリース時期はやや先のことになりそうだが、マイクロソフトが提供を試みるセキュリティ技術「Network Access Protection（NAP）」についても連携していく計画である。

　特に、「検疫ソリューションを提供するに当たって、Shavlikは非常にいい位置にあると言える」とエリック氏。その理由としては、コマンドラインベースでスキャンを行うため組み込みが容易なこと、「不適切」として排除された端末に対するパッチ適用の部分をカバーできることなどが挙げられるという。

　「多層的防御というアプローチの中で、マイクロソフトはもちろん、さまざまなネットワーク製品との組み合わせを模索していきたい」（同氏）。

　2005年後半以降には、脆弱性検査ツールも含めた統合管理コンソールやスパイウェアスキャン／駆除機能の提供などがロードマップに上がっているという。

　いずれにしても、「残念ながら今後も、マイクロソフト製品にセキュリティ脆弱性は存在し、パッチが提供されることになるだろう。一方で、最新のOSだけでなくレガシーなプラットフォームが消え去ることもないだろう」（エリック氏）。Shavlikはこういった状況の中でパッチ管理ソリューションを提供できる唯一の企業だ、と述べている。