面倒なパッチ適用までお任せ〜脆弱性検査ツールの新世代
| 【海外記事】 | 2002.2.21 |
セキュリティ対策の原則として,利用しているOSやアプリケーションにセキュリティホールが見つかったならば,可能な限り早くパッチを適用することが推奨される。だが現実には,サービスを停止したくない,今動いているアプリケーションとの競合が心配だ,あるいは面倒だといった理由から,パッチを適用しないままで運用しているケースも相当数あると思われる。
RSA Conference 2002の展示会場では,セキュリティを維持するために欠かせない作業であるパッチの適用を手助けする製品やサービスが紹介された。
まずは,米シャブリック・テクノロジーズの「HFNetChkPro」だ。昨年8月には,この簡易版である「HFNetChk」がマイクロソフトより提供された。
HFNetChkは既に報じられているとおり,ローカルシステムの情報とマイクロソフトが提供するXML形式のデータベースとを比較することで,Windows NT 4.0/2000に加えIIS 4.0/5.0,SQL Server 7.0/2000,バージョン5以降のInternet Explorer(IE)のパッチの適用状態を測定してくれる。だがこれはコマンドラインのツールであり,しかも適用されていないパッチの情報が表示されるだけだ(これでも十分有益ではあるが)。
これに対し,シャブリックがリリースしたHFNetChkProは,ネットワーク内にあるマシンのパッチ適用状況をチェックし,その結果をグラフィカルに表示してくれる。しかも,未適用のパッチがあれば,該当するパッチをプッシュ形式で配信する機能も備えている。HFNetChkProの「Shavlik Patch Deployment Wizard」機能では,ネットワーク内のマシンに対する一斉配信やスケジュール配信も可能だ。これらのインストールが確実に行われたどうかの結果をイベントログで確認することもできる。さらに,脆弱なアカウントやパスワードをチェック機能も提供される。
 |
| パッチの適用状況がグラフィカルに表示されるHFNetChkPro |
HFNetChkProでは,Windows NT 4.0/2000/XP,IIS 4.0/5.0,SQL Server 7.0/2000,Office 97/2000,IE 5.0」以降とOutlook 98/2000に対するチェックを行うことができる。価格は,50ユーザーまでの場合で1123ドル75セントからとなっている。
同社はまた,IEやOutlook,Officeに加え,IISやSQL Server,Terminal Server,それにドメインコントローラのセキュリティを検査する「Shavlik EnterpriseInspector」も提供している。こちらは同じく50ユーザーまでの場合で,3123ドル75セントからだ。
シャブリックでは,.NET製品群に対しても同様のチェックを行えるよう開発を進めているという。ただ残念ながら,日本語版については,マイクロソフトが提供するXMLデータベースとの間にずれが発生するといった問題があるため,提供するかどうかは微妙だとしている。
脆弱性検査ツールと連携する「Hercules」
米ファウンドストーンも,脆弱性検査だけでなく,その脆弱性に関する情報を提供し,パッチの適用や設定変更を手助けする機能を備えたツール「FoundScan」を紹介している。FoundScanでは,Windowsに限らずSolarisやFreeBSDなどさまざまなプラットフォームのセキュリティ検査を行うことができ,さらにVulnTrakと呼ばれる独自の技術によって,発見された問題を自動的に解決できるという。また,無線LAN環境の検査も可能ということだ。
同社の担当者は「市場には既に幾つか脆弱性検査ツールが提供されている。だがセキュリティにおいて重要なことは,脆弱性を見つけるだけでなく,それをきちんと修正することで,そうでなければ問題解決とはいえない。われわれの製品は修復とその後の監査をサポートする,おそらく唯一の製品だ」と語った。
また,米シタデル・セキュリティ・ソフトウェアは,カンファレンスに合わせて,脆弱性の修復を自動的に行うソフトウェア「Hercules」を発表した。これは,IISのInternet ScannerやネットワークアソシエイツのCyberCop Scanner,それにHFNetChkと連携して動作する,クライアント/サーバ型の製品だ。
Herculesは,脆弱点検査ツールから情報を受け取ったうえで,その脆弱点に関する詳細な情報を管理者やユーザーに提供する。同社によると,Bugtraqやセキュリティ・フォーカスといったリソースからの情報を集約して提供するということだ。Herculesはさらに,あらかじめ定めたルールに従って,該当マシンの設定やレジストリの変更やパッチのインストール,あるいはコマンドの実行いった修復のための作業を自動的に行う。
現時点ではWindows NT/2000/XPのみが対象だが,今後,LinuxやSolaris対応版も提供する計画という。
関連リンク
[高橋睦美 ,ITmedia]
