対策不備は会社の信用問題。Windowsセキュリティアップデート術：良い管理者 悪い管理者 普通の管理者（6/6 ページ）

[木村尚義，ITmedia]

良いシステム管理者

無償ツールを最大限に活用。
サービスを停止せずにアップデートを実行。

　〔良いシステム管理者・山本一郎〕は悩んでいた。セキュリティアップデートの重要性は十分理解しているつもりであるが、どこから手をつけてよいのか分からなかった。

　そこで、導入の際に、SP2 適用済みにして、アンチウイルスソフトなども構成済みで、現時点で最もセキュアな状態にしたWindows XPを標準システムとしてディスクイメージを作っておいた。このヒナ型をクライアントに展開したのだ。しかし、いくら現時点で最新のセキュリティ対策をしたとしても、セキュリティアップデートは常に必要だと思えた。

　そこで、一郎はセキュリティアップデートに次のよう

な条件を挙げて検討にかかった。

1. 各クライアントが必ずしもインターネットに接続する必要がないこと
2. 全社のセキュリティアップデートはなるべく自動化できること
3. ミッションクリティカルなサーバでは、アップデートの際にもサービスを停止させないこと

1.各クライアントが必ずしもインターネットに接続する必要がないこと

　この条件を挙げたのは、ファイアウォールの構成によっては、外部に接続できないクライアントがあるからだ。

そして、各クライアントがセキュリティアップデートをする際にゲートウェイに負担をかけないことを考慮する。

　Windows UpdateにはBITS（バックグラウンドインテリジェント転送サービス）と呼ばれる、ネットワーク帯域を効率よく使う仕組みがある。

　セキュリティアップデートをすべてダウンロードしてから適用する仕組みであっても、セキュリティアップデートのダウンロード途中でケーブルを抜くなどしてネットワークが切断されてしまう恐れがある。今までは、ダウンロード途中に接続が切断されてしまった場合には、セットアップイメージを最初からダウンロードし直す必要があった。しかし、モバイルPCやワイヤレス通信の環境では、その可搬性ゆえにネットワークはしばしば切断されてしまう。

　このような状況を回避するのがBITSである。BITSでは、データ転送にチェックポイントを設定し、どのチェックポイントまでダウンロードされているかをバイト単位で随時記録する。そして、ネットワークが切断されても再接続の際に、残りの部分を自動的に検知しダウンロードを再開する。すべてのダウンロードが完了したら、クライアント側でセットアップが開始される。例えば、90%ダウンロードが終わったところで回線接続が切断された場合であっても、ネットワークに再度接続された際には、残りの10%だけをダウンロードすれば完了するわけだ。

　しかし、せっかくのBITSではあるが、各クライアントが一斉にセキュリティアップデートをしてしまうと、外部接続用のゲートウェイに負荷が集中してしまう。Windows Updateを構成するには、もう一工夫必要なようだ。

　そこで、一郎はWSUS（Windows Server UpdateServices）を使用することにした（図4）。

図4:WSUSの動作

　WSUS は無償で提供されているツールである。WSUSは最初にマイクロソフトのWindows Update用のWebサイトに接続して、最新の状態になるようにセキュリティ情報を同期する。このときに、接続するコンピュータはWSUSだけで済むので、ゲートウェイに負荷をかけることは少ない。

　しかし、一郎には懸念があった。いくらセキュリティ更新プログラムが公開されているとはいえ、このまま、全社のPCにセキュリティ更新プログラムを適用すると、不具合があった場合に会社のPCが全滅してしまう恐れがあると考えた。そこで、セキュリティ更新プログラムをテストする標準クライアントを用意した。テスト機で規定の操作を行いすべてクリアすれば、セキュリティ更新を承認することにしたのだ。

　また、脆弱性を持つクライアントの発見には、MBSA（Microsoft Baseline Security Analizer）が役に立った。MBSAは無償ダウンロードできるツールで、セキュリティ更新プログラムが適用されていないコンピュータを探し出すことができる。

2.全社のセキュリティアップデートはなるべく自動化できること

　各クライアントPC でWSUS を使うように設定する必要がある。手作業で設定することも考慮したが、将来的にターゲットとなるWSUS サーバを変更する可能性があるからだ。将来的に規模が大きくなると、WSUSも拠点ごとに複数で運用が必要になるかもしれない。だから、構成を柔軟に変更でき、一元管理する仕組みが必要だ。

　この解決には、グループポリシーを使うことにした。Windows ServerでActive Directoryを構築していればグループポリシー機能が使える。グループポリシーのコンピュータの構成を使って、WindowsUpdateターゲットがWSUSを提供しているサーバになるように指定する。そして、テスト済みのセキュリティ更新プログラムを承認すれば、配信の指示が完了する。あとは、それぞれのクライアントPC がダウンロードするのを待てばよい。

3.ミッションクリティカルなサーバでは、アップデートの際にもサービスを停止させないこと

　クラスタ環境であれば、サービスを停止せずにアップデートすることができる。クラスタ環境では、複数台のサーバでサービスを提供している。そこで、すべてのサーバに対して同時にセキュリティ更新プログラムを適用するのではなく、1 台ずつセキュリティ更新プログラムを適用するのだ。この方法なら再起動に伴うサービス停止時にも、別のサーバが継続してサービスを行うことができる。このように、1台ずつアップデートしていく方式をローリングアップデートと呼ぶ。

　また、クラスタ環境により耐障害性および負荷分散ができるようになった。そして、テストに合格した更新は、全社的で適用できるようにシステム化することに成功した。

　一郎は、一瞬、映画に出てくるハッカーのように何でもできそうな気分になった。しかし、すぐに現実に戻り、セキュリティの勉強を続けなくてはと思った。

良い管理者への心得５箇条

1. 漏れなく手間なく、できるだけ自動化を考慮し管理コストを削減する。
2. 更新プログラムを適用する前には必ずテストを行う。
3. 常に最新のセキュリティ情報を入手しておく。
4. OS だけではなく、アプリケーションやウイルス対策ソフトのアップデートも確実に行う。
5. 再起動が必要な状況でも、サービスを停止させない方法を検討する。

このコンテンツはサーバセレクト2005年8月号に掲載されたものを再編集したものです。