SMS 2.0 によるセキュリティ・修正プログラム配布ソリューション最終更新日: 2002 年 7 月 4 日 |
トピック
1. はじめに |
|
2. Microsoft Software Update Service について |
|
3. Microsoft Systems Management Server 2.0 の概要 |
|
4. SMS 2.0 Value Pack とは |
|
5. ソリューション |
1. はじめに
CodeRed や Nimda による被害は、まだ記憶に新しいところではありますが、最近でも Klez が蔓延するなど、企業・組織のコンピューティング環境に対して悪影響を及ぼすウィルスやワームは依然として脅威です。
ところが、ファイアウォールやアンチウィルス ソフトウェアの導入でセキュリティ対策が完了したものと誤解している IT 管理者も少なくありません。バッファ オーバーフローなど、ソフトウェアのセキュリティホールを突いてくるウィルスやワームに対する根本的な対策は、そのソフトウェアの脆弱性を修正すること、すなわち、ワームが蔓延するより先に修正プログラムを適用することです。
実際、セキュリティ・ホールに関する情報を収集し、適切に修正プログラムの適用を実施していた組織においては CodeRed の被害は皆無で、また、CodeRed によって被害を被った組織の多くは、その反省から修正プログラムの適用を徹底し、その後の Nimda の影響を避けることができています。
しかし、大規模な企業・組織における大量のクライアントに対して修正プログラムを配布・適用するためには、ユーザや IT 管理者の負荷を高めることなく、短期間にかつ効率的に作業を行う仕組み=ツールが必要不可欠となってきています。
マイクロソフトは昨年 10 月に発表した Strategic Technology Protection Program (STPP) に基づき、Windows ネットワーク環境をセキュアにするための製品や Windows の追加機能を提供し始めています。 修正プログラムの効率的な配布を実現することを目的として、提供されております。(SMS Value Pack については今秋公開予定。)
- Microsoft Software Update Service(SUS)
- Microsoft Systems Management Server(SMS) 2.0 Value Pack
以下に、それぞれの概要を説明するとともに、企業・組織内のセキュリティを維持するための、SMS 2.0 を使用したセキュリティ・修正プログラム配布ソリューションをご紹介いたします。 なお、下記の情報は現在開発中の製品に関するものであることから、最終的な製品の機能とは異なる場合があります。
ページのトップへ
2. Microsoft Software Update Service について
既存の修正プログラム適用の仕組みとして、Windows Update が提供されているが、組織内の PC で使用するには、IT 管理者が修正プログラム適用可否を制御できません、PC 1 台ごとにインターネットからダウンロードするトラフィックの無駄が生じる、などの問題があった。 Microsoft SUS は、これらの問題を解決するための仕組みです。
Microsoft SUS は、これまでマイクロソフトが提供していた Windows Update のサイトを、組織のファイア・ウォール内に構築可能とすることで、トラフィックの問題を回避するとともに、IT 管理者が修正プログラム適用の制御をおこなえるように機能拡張したものです。
Microsoft SUS のベース・テクノロジは Windows Update であり、修正プログラムの配布のみを目的としています。クライアントに配布可能なファイルは、マイクロソフトの Windows Update サイトに公開されている署名付き修正プログラム・ファイルのみに限定されています。
Software Update Service についての詳細はこちらをご覧ください。
ページのトップへ
3. Microsoft Systems Management Server 2.0 の概要
Microsoft Systems Management Server (SMS) 2.0 は、大規模な企業・組織におけるクライアント PC の管理を目的とした製品であり、以下の機能を提供します。
インベントリ収集・管理
PC のハードウェアやソフトウェアの構成情報を自動的に収集し、データベースに蓄積することによって、IT 管理者が Windows ネットワークの機器管理やソフトウェアのライセンス管理、ヘルプデスク業務をおこなうための情報を提供します。インベントリ収集はバックグラウンドで動作する仕組みとなっており、通常ユーザが直接操作しないサーバ PC やネットワークから切り離されることがあるノート PC などでも、定められたタイミングで情報が収集できます。
取得可能な情報は CPU やメモリなどのハードウェア構成に限らず、Windows OS 上で動作するサービスやプロセスの状態も取得可能です。 CodeRed や Nimda はセキュリティ・ホールが放置された状態の IIS をターゲットにして蔓延したが、このインベントリ収集機能を使用すれば、組織内ネットワークで IIS 稼動しているサーバを列挙し、さらに修正プログラムが適用されていないサーバを抽出することが容易におこなえるため、あらかじめ対策を取ることが可能となります。
ソフトウェア配布
クライアント上で任意のプログラムを強制的に実行するための機能である。 Microsoft Office などのアプリケーションの自動インストールができるだけでなく、毎日特定の時刻にアンチ・ウィルス・ソフトウェアを強制実行することや、ユーザ・アプリケーションが使用するデータ・ファイルをクライアントにコピーすることも可能です。また、配布処理はユーザの権限やログオン状態に依存しないようにも設定できます。 組織のポリシーによって、クライアント PC に対するユーザの権限が制限されている場合であっても、SMS のエージェントによって任意のアプリケーションの導入が可能となります。
その他機能
IT 管理者がヘルプデスク業務に使用するクライアント PC へのリモート・コントロール、ネットワーク上のパケットをキャプチャし分析するネットワーク・モニタなど、Windows ネットワークの維持・管理に必要な機能が提供されます。図 1: 企業システムの管理要件と SMS 2.0 の機能
ページのトップへ
4. SMS 2.0 Value Pack とは
SMS 2.0 Value Pack は、SMS 2.0 の機能を強化するためのアドオン・ツール群であり、SMS 管理者の作業負荷を軽減するツールやアプリケーション配布の機能強化などが含まれます。それぞれのツールは現在開発中ですが、完成し次第、個別に Microsoft SMS サイトに公開さする予定です。
SMS 2.0 Value Pack には、企業・組織のセキュリティを維持するために有用な、以下のツールが含まれます。
Security Update Inventory Tool
Security Update Inventory Tool は、クライアント PC に適用されていないセキュリティ・修正プログラムの情報を収集し、SMS のインベントリとして記録するツールです。マイクロソフトのセキュリティ・サイトで提供されている HFNetChk の機能を利用しており、IT 管理者が組織内の PC の修正プログラムの適用情報を集中的にチェックすることができます。HFNetChk は修正プログラム情報のソースとして、マイクロソフトが公開している XML データベースを参照するが、Security Update Inventory Tool は、この自動取り込みにも対応し、最新の修正プログラム情報を使用したインベントリ収集が可能です。
図 2: SMS 2.0 のインベントリとして収集された修正プログラム情報
Patch Distribution Wizard
インベントリ情報を元にクライアントに必要な修正プログラムを一括配布するためのツールです。SMS 2.0 管理コンソールの MMC スナップインを拡張し、配布対象クライアントの集合であるコレクションのコンテキスト・メニューから、直接修正プログラムの配布を指示できる UI となっています。図 3: SMS 2.0 管理コンソールと Patch Distribution Wizard
ページのトップへ
5. ソリューション
以上、セキュリティ・修正プログラムの配布の観点から Microsoft SUS と SMS 2.0 Value Pack を紹介しました。 機能的には SMS 2.0 Value Pack が、Microsoft SUS のスーパーセットとして位置付けられますが、システムとして組織内に導入する際に、どちらのソリューションがより適切なのかについては、下記の判断材料を参考に、組織のニーズに合わせて選択してください。
配布パッケージの種類
繰り返しになりますが、Microsoft SUS の機能は組織内クライアントのセキュリティを容易に維持することを目的としており、配布可能なパッケージは Windows Update サイトで公開される重要な更新と SRP に限定されています。サービス・パックやドライバ、その他ユーザが必要とするアプリケーションなどは配布不可能です。WAN への対応 (ネットワークの負荷制御)
センターと遠隔地の拠点間を接続する WAN 回線が狭帯域であり、ネットワーク・トラフィックの制御が必要である場合、SMS 2.0 の帯域制御機能が活用できます。 また、配布パッケージが巨大である場合にも、SMS 2.0 のパッケージ圧縮や CD-ROM メディアによる配布が有効です。対象クライアント (配布のターゲッティング)
SMS 2.0 が配布の対象とするクライアントは、インベントリ情報に基づくクエリによって選択されるため、配布のターゲッティングを動的に変化させることができます。 したがって、あるアプリケーションと特定の修正プログラムの組み合わせによって障害が発生することが既知である場合、そのアプリケーションがインストールされている PC を配布対象から除外することが可能です。Microsoft SUS は、配布を指示された修正プログラムが未適用であれば、その他の条件に関係なくインストールを実行できます。
配布ステータス管理
SMS 2.0 には、修正プログラム配布の成功/失敗をレポートする機能が標準で用意されており、IT 管理者は警告のレベルに応じて適切な判断とアクションを取ることができます。
表 1: SUS と SMS 2.0+Value Pack の機能比較
SMS 2.0 + Value Pack | 配布パッケージ | |
配布パッケージ | Microsoft Windows Update サイトの提供モジュール | 任意のソフトウェア/ファイル |
WAN 対応 | No | Yes (圧縮、時間帯、占有率) |
対象クライアント | クライアントが接続する SUS サーバ (IIS) に依存 | クエリによる動的ターゲッティング |
配布ステータス管理 | IIS のテキスト・ログによるアクセス情報のみ | 配布結果 (成功・失敗) の集中管理 |
配布タイミング | 曜日・時間の指定が可能 (最高 1 日 1 回) | 詳細な設定が可能 (任意、強制、緊急配布など) |
ページのトップへ