ニュース
2004/02/28 23:33:00 更新


面倒なパッチ配布、管理のお助けツールが登場

攻撃を避けるためには不可欠だが、とにかく面倒なパッチの配布・管理を支援するためのツールが提供され始めている。

 残念ながらソフトウェアから脆弱性がなくなることはないだろう。このことを前提にすれば、われわれは今後も、脆弱性を修正するためのパッチを付き合い続けなければならない。しかしながら、パッチの適用は、事前の検証や確認も含めると非常に労苦の多い作業だ。

 米MicrosoftはRSA Conference 2004の自社ブースで行ったプレゼンテーションの中で、「顧客が時間やリソースを費やし、痛みに耐えながらパッチ適用に取り組んでいることは認識している」と述べている。

ms_patch.jpg

 同社はパッチ適用にまつわる問題を、「頻度」「品質」「トレーニング/ガイダンス」と「ツールの不在」という4種類に分類し、それぞれ問題解決に取り組んでいくという。たとえばパッチの品質に関しては、インストール手順を統合するほか、適用後の不具合に備えたロールバックへの対応、ダウンタイムをなくすホットパッチの実現(Windows Server 2003以降)などが予定されている。

 ツールの充実にも取り組んでおり、既にパッチの適用状況を検査する「MBSA(Microsoft Baseline Security Analyzer) 1.2」を提供。合わせて、パッチ配布・管理を支援する企業向けツール「Software Update Service(SUS)」と「Systems Management Server(SMS)」をリリースし、パッチ適用の効率化と制御を支援してきた。2004年前半にはSUS 2.0をリリースし、SQL Serverなどより幅広い製品に対してパッチの配布を行えるようにする計画だ。

 パッチに関連する話題を議論するPatchManagement.orgのEric Schultze氏(Shavlik Technologiesのチーフ・セキュリティ・アーキテクト)は、企業や大学などがパッチの適用、管理に苦労していることを踏まえ、パッチ適用の自動化やリスクアセスメントを支援するツールは不可欠だ、と述べている。

 だが一方で、Windows Updateには含まれないパッチへの対処やサポート外となってしまったプラットフォームでの運用、さらにはLinuxなどマルチプラットフォーム環境でのパッチ管理など、知恵を絞らなければならない分野がまだ多く残されているのも事実という。

進化しつつある商用パッチ管理ツール

 カンファレンス会場では他にもいくつか、パッチ配布の効率化を支援する製品が見受けられた。

 MBSAの原開発者であるShavlik Technologiesは、主力製品であるパッチ管理システム「HFNetChkPro」の次期バージョン、4.5について紹介した。この製品では、ユーザーをグループ分けし、あらかじめ設定したスケジュールに沿ってパッチの自動配布、適用を行うことができる。ファイル名や日付、チェックサムなどを用いてレジストリの検証を行うことも可能だ。

 第2四半期にリリース予定という新バージョン、4.5では、パッチ適用後に自動的にリブートを行わせる「SafeReboot」機能がサポートされるほか、スキャンの結果未適用のパッチがあることが判明したとき、自動的にそれらを適用させる機能が加わるという。スケジュール機能や管理機能の改善に加え、リモート拠点にパッチをキャッシュさせ、分散型のパッチ適用を実現することで、帯域の節約も可能になる予定だ。

 同社製品の対象は、これまでWindowsプラットフォームに限られていた。しかし4月中旬には、Linux(RedHat Linux)でパッチの配布・管理を行えるようにするツールをリリースする計画だ。その次にはSolaris版も視野に入れているという。

 Shavlikはさらに、プッシュ技術で知られるMarimbaとの提携も明らかにしている。Marimbaの技術のOEM供与を受けることにより、従来から提供してきたスキャンベースのパッチ管理に加え、エージェントを利用してのきめ細かなパッチ配布・管理を可能にするという。モバイル環境にあるPCへのサポートも強化され、効率的なパッチ配布を支援する。

 同社によると、第3四半期には日本語版のリリースも計画中とのこと。現在代理店との間で、それに向けた準備を進めているという。

 米Patchlinkも同社の「PatchLink Update」を用いたパッチ配布の効率化についてデモンストレーションを行っていた。こちらは完全にエージェントを利用したシステムで、スキャンベースの製品よりも正確にシステムの状況を判断できるという。

 対応プラットフォームやアプリケーションの幅広さも特徴の1つで、Windows(Windows 95やWindows NT 4.0も含む)に加え、LinuxやSolaris、AIXをサポート。第2四半期にリリース予定の「PatchLink Update 6」では、HP-UXやMacOS Xにも対応するという。

 他にこの新バージョンでは、一種の脆弱性調査機能を追加。脆弱なパスワードが設定されていたり、不必要なサービスが稼動している場合に警告する機能が加わる予定だ。また、複数の拠点を持つ大企業向けの機能として、多階層モデルに基づいた分散配布が可能になる。しかもこの際、ネットワークの中で最もユーザーに近い場所からパッチを取得させたり、Active DirectoryやLDAPと連携してコントロールすることができるようになるという。

 同社によるとPatchLink Updateは英語のほかスペイン語、韓国語をサポート。日本語への対応も順次進めている最中だという。

関連リンク
▼RSA Conference 2004
▼PatchManagement.org
▼Shavlik Technologies
▼PatchLink

[高橋睦美,ITmedia]

Copyright © ITmedia, Inc. All Rights Reserved.