マイクロソフトの Securing Windows 2000 Server ソリューション: 第 8 章 ‐ 修正プログラムの管理
第 8 章 ‐ 修正プログラムの管理
トピック
オペレーティング システムとアプリケーションは、多数のプログラマによって作成され、コードの行にして数百万行もの規模になることがあり、しばしば非常に複雑なものになります。ソフトウェアは、IT 環境のセキュリティや安定性に悪影響を及ぼすことなく、高い信頼性で動作しなければなりません。問題の発生を最小限に抑えるため、プログラムは徹底したテストを経てリリースされます。しかし、ソフトウェアの脆弱性を見つけ出して攻撃を仕掛けるハッカーが後を絶たないのが実情であり、あらゆる未知の攻撃への対策を盛り込むことは困難です。
ソフトウェア会社では、製品のリリース後に明らかになったコードや実装内の弱点を解決するため、修正プログラムをリリースします。修正プログラムとは、障害の一時的な解決法として実行可能プログラムに挿入されるオブジェクト コードです。
発生する問題としては、セキュリティに関連するものがますます増えています。攻撃数が増加するにつれ、攻撃の方法が巧妙になり、セキュリティの脆弱性を利用するために新しい種類の不正コード (新しい作業環境に意図的または非意図的に損害をもたらす実行可能コード) が作成されています。ただし、製品に機能を追加する目的で修正プログラムがリリースされることもあります。
ほとんどの組織にとって、セキュリティ修正プログラムをどう管理するのかが大きな課題となります。ソフトウェアになんらかの脆弱性があることがわかると、その脆弱性に関する情報がハッカーの間にたちまち流布されます。このため、ソフトウェア会社は、できるだけ速やかにセキュリティ修正プログラムをリリースしなければなりません。修正プログラムを適用するまでの間は、セキュリティが保証されないままシステムを運用しなければならなくなります。
会社が所有するコンピュータの台数に関わりなく、適用可能な修正プログラムをすべて管理し、どの修正プログラムが実際の環境に適しているのかを判断し、さらに、修正プログラムの適用前にどの程度までテストを実施する余裕があるのかを判断するには、時間と労力を要します。 私たちは、Contoso システムのすべての Microsoft Windows 2000 (Service Pack 3) に対し、利用可能な最新のサービス パックを適用してから、それぞれのサーバーについてどんな修正プログラムが利用可能であるかを調査し、それらもまたインストールしました。その結果、すべてのサーバーで同じいくつかの修正プログラムが要求されたものの、Web サーバーのみにインストールした IIS (Internet Information Service) に固有の、少数の追加修正プログラムがあったことがわかりました。
この章では、Windows 2000 ベースのサーバーのセキュリティを維持するうえで役立つように修正プログラムの管理の方法を解説しますが、これらの方法論は、あらゆるソフトウェアの更新に伴う修正プログラムの管理プロセスに応用できます。具体的なソフトウェア更新手順については、ソフトウェアの製造元にお問い合わせください。
用語
このガイドでは、リリース後にソフトウェアに対して適用される更新 (アップデート) を意味する用語として、セキュリティ修正プログラム、サービス パック、および修正プログラムの 3 つの用語を使用しています。この 3 つは適用の方法が共通していますが、以下に示すような区別があります。
サービス パック
サービス パックは、製品の更新や既知の問題の修正を目的とします。また、コンピュータの機能を拡張するためのサービス パックもあります。サービス パックは、ツール、ドライバ、およびアップデートをダウンロードしやすいパッケージとしてまとめたものです。これを適用することで、製品のリリース後に開発された強化機能を製品に組み込むことができます。
サービス パックは製品固有のものなので、製品ごとに個別のサービス パックがあります。ただし、同じ製品の異なるバージョンについては一般に同じサービス パックが使用されます。たとえば、Windows 2000 Server と Windows 2000 Professional の更新には、同じサービス パックが使用されます。
さらに、サービス パックは累積的です。それぞれの新しいサービス パックは、それ以前のサービス パックのすべての修正点を含んでおり、さらに、それ以降に推奨されたすべての修正点とシステムの変更を含んでいます。最新のサービス パックをインストールする前に、それ以前のものをインストールする必要はありません。サービス パックには、少数の顧客が要求した設計上の変更や機能が含まれている場合もあります。また、広く配布されるため、厳重にテストされます。
修正プログラムおよび QFE
QFE (Quick Fix Engineering) は、修正プログラムを作成しているマイクロソフト内のチームです。修正プログラムとは、製品の修正プログラムを行うコードのことです。現在では、これらのチームのほとんどが自らを Sustained Engineering チームと呼んでいます。修正プログラムまたは QFE は、個々の顧客に実現可能な代替手段がないような、重大な問題が発生した場合に提供されます。また、技術的な文書の中で、修正プログラムが QFE と呼ばれているのを見かけることもあります。
修正プログラムについては、広範な回復テストは行われていません。またこれは、特定の問題にだけ対処するものです。適用できるのは、該当するまさにその問題が発生している、最新のサービス パックを適用した現在のソフトウェア バージョンを使用している場合に限るべきです。
一連の修正プログラムは、定期的にサービス パックに組み込まれます。その時点までには、より厳格なテストが行われ、すべての顧客が利用可能になります。
セキュリティ修正プログラム
セキュリティ修正プログラムは、セキュリティ上の脆弱性を取り除くために作成されます。これらの脆弱性は、システムへの侵入を試みる攻撃者に利用される可能性があります。セキュリティ修正プログラムは修正プログラムと似ていますが、状況によっては必須のものと考えるべきであり、早急に展開することが必要です。
リリースされたセキュリティ更新の多くは、クライアント側の問題 (多くの場合ブラウザ) に関連したものです。それらは、サーバーにとって適切なことも、そうでないこともあります。現在のクライアント ベースを更新するにはクライアント修正プログラムが、サーバーのクライアント ビルド エリアを更新するには admin 修正プログラムを入手する必要があります。
組織内での修正プログラムの管理
修正プログラムの管理の具体的な実行方法は、組織のサイズと複雑さに応じて相当に異なります。しかし、修正プログラムの管理の重要性と、会社のリスク管理戦略全体にどう適合するかを理解しておくことは重要です。
たとえば、どのような手段を講じてでもリスクを最小限にしなければならないと決めた場合には、ソフトウェアに新しい脆弱性が発見されるたびに稼動中のシステムすべてをシャットダウンするという戦略に従うこともできます。そして、セキュリティ修正プログラムについての広範な試験が行われ、組織全体に展開するまで、再びシステムを起動しないようにすることもできるでしょう。しかし、これは膨大な時間と費用がかかるプロセスなので、多くの組織にとっては全く非現実的です。
修正プログラムの管理プロセス全体にわたって、リスクとそれに対する適切な対抗策を展開するためのコストを評価することが必要となります。セキュリティ上の脆弱性が公表されてから修正プログラムがリリースされるまでに、ある程度の時間がかかることもあります。脆弱性によって増加したリスクを評価して、修正プログラムのテストと展開に先立って取るべき手段を決定する必要があるでしょう。
これらの手段には、サービスを無効にする、システムをオフラインにする、必要に応じて内部ユーザーや他のグループへのアクセスを制限する、といったことが含まれます。修正プログラムがリリースされたら、それを直ちに展開することのリスクと、サービスを停止したままにすることや、テストを行って修正プログラムがシステムに悪影響を及ぼさないことを確かめるまで無防備な状態でいることのコストとを比較し、決定を下さなければなりません。テストを行うことに決めた場合、展開しないリスクが展開のリスクを超えるようになるまでの間に、どの程度のテストを行う余裕があるかを判断する必要があります。
注 組織内で変更管理プロセスを確立することも必要です。MOF (Microsoft Operations Framework) には、組織での基礎プロセスとして役立つ変更管理プロセスが含まれています。MOF の詳細については、この章の最後の「詳細情報」のセクションを参照してください。
現在の環境の評価
修正プログラムが組織全体に一貫性のない仕方で適用される、また、それらを展開する理由、時期、および対象についての文書がない、ということはよくあります。環境のセキュリティを適切に管理するには、その現状を詳細に知っておく必要があります。修正プログラムの管理には、最低限、以下のことを知っておかなければなりません。
お使いの環境に含まれるシステム
オペレーティング システムとそのバージョン
使用中の修正プログラム レベル (サービス パックのバージョン、修正プログラム、および他の修正点)
機能
環境全体で使用中のアプリケーション
各システムを担当する個人やグループの連絡先情報
環境内にどんな資産があるか、およびその相対的な価値
既知の脅威と、新しい脅威や脅威のレベルの変化を察知するために採用しているプロセス
既知の脆弱性と、新しい脆弱性や脆弱性レベルの変化を察知するために採用しているプロセス
お使いの環境で導入されてきた対抗手段
この情報を、修正プログラムの管理プロセスに関係するすべての人が入手できるようにすること、および最新のものに保っておくことを強く推奨します。
資産、脆弱性、脅威、および環境の構成について十分理解できたら、各脅威や脆弱性の会社にとっての重大性を判断し、優先順位をつけることができます。
Software Update Services
多くの環境では、修正プログラムの管理プロセスのステップの多くを実行する、専門のコンピュータを用意すると有益です。これらのシステムは、セキュリティ ツール、修正プログラム、修正プログラム、サービス パック、および文書を保管するための専用の場所となります。これらのシステムを使用して、修正プログラム分析、検索、および展開を行なうこともできます。このガイドでは、そのようなシステムのことをSUS (Software Update Services) と呼んでいます。
セキュリティ更新システムは環境内の全システムのセキュリティ修正プログラムを展開し、維持するために用いられるため、厳密にコントロールされ、安全が保たれている、1 台または複数の専用コンピュータ上に配置すべきです。
通常負荷は非常に軽いため、セキュリティ更新システムは一般に高性能のサーバーでなくてもかまいません。しかし、これらのコンピュータは、環境を最新の修正プログラムによって最新の状態に保つための基礎となるため、高可用性が非常に重要となります。
セキュリティ更新システムを展開するコンピュータでは、信頼できるソースから最新の修正プログラム情報をダウンロードするための直接または間接的なインターネット アクセスと、最新の状態に保つために該当する各コンピュータへのアクセスが必要となります。
SUS の例と実行するサンプル スクリプトについては後述します。
注 MOF では、リリース管理プロセスの一部として更新システムについて説明しています。
コミュニケーション
小規模な会社であれば、修正プログラムを最新にしておき、テストとインストールを行ってそれらが生成する様々なログ ファイルを読むという担当者が 1 人でも十分でしょう。しかし、より大きな環境では、一般にセキュリティ修正プログラムの管理の様々な要素を複数の人が担当することになります。
修正プログラムの管理に関わるすべての人が効果的なコミュニケーションを行うことは非常に重要です。このことは、作業を繰り返さずに意思決定を行ったり、プロセスのステップを飛ばしたりしないようにするのに役立ちます。
修正プログラムの管理と変更管理
修正プログラムの管理は実際のところ、変更管理の一部です。組織内ですでに変更管理の手順が確立していれば、修正プログラムの管理のために全く新しいプロセスを作成する必要はありません。この章では、修正プログラムの管理プロセスに特有の情報を提供しますが、それはまた、既存の変更管理プロセスを大きく改善するために用いることもできます。
優れた変更管理の手順には、指定された所有者、顧客入力へのパス、すべての変更の根拠を示す監査記録、告知と再確認の期間が明確であること、テストの手順、および十分に理解されたロールバック プランが含まれます。
マイクロソフト セキュリティ ツール キット
サーバーを最新の状態に保つために必要なサービス パックや修正プログラムを入手する際、マイクロソフト セキュリティ ツール キットが役立ちます。このツール キットには、重要なセキュリティ情報、現在のサービス パック、Microsoft Windows NT version 4.0、Windows 2000、IIS (Internet Information Services)、および Microsoft Internet Explorer に対する重要なセキュリティ修正プログラムが含まれています。また、重要な更新の通知ツールも含まれています。このツールは、Windows Update サイトに接続して最新の修正プログラムがコンピュータにインストールされるようにします。セキュリティ ツール キットは、TechNet から入手できます。
修正プログラムの管理プロセス
修正プログラムの管理プロセスを次のフローチャートに示します。
.gif)
図 8.1: 修正プログラムの管理プロセス
これらのステップについて詳しく調べてみましょう。
分析 現在の環境と脅威の可能性を調べます。環境への脅威を軽減するために展開できる修正プログラムとして、どのようものがあるかを調査します。
計画 識別した潜在的な脅威と脆弱性を防止するために、どの修正プログラムを展開するか決定します。また、誰がテストや展開、関連する手順を実行するかをも指定します。
テスト 利用可能な修正プログラムを調査し、環境に合わせて分類します。識別された修正プログラムをすべてテストし、お使いの環境で何らかの悪影響を及ぼすことがないかどうかを確認します。修正プログラムが何を行うか、また、環境にどのように影響するかを理解しておきます。また、それが意図したとおりに動作するかどうかを確認します。
展開 お使いの環境を保護するために、適切な修正プログラムを展開します。
監視 修正プログラムを展開した後に悪影響がないかどうかを確かめるため、システムをすべてチェックします。
再確認 継続的なプロセスの一部として、リリースされた新しい修正プログラム、環境、そしてどの修正プログラムが組織に必要かを定期的に調査します。調査中に新しい修正プログラムが必要なことがわかった場合には、最初のステップから再び開始します。
重要 修正プログラムを展開する前に、稼動中のすべてのシステムをバックアップすることを強く推奨します。
環境を分析して適用されていない修正プログラムを見つける
継続的なプロセスとして、修正プログラムについての最新の情報を得ておく必要があります。場合によっては、すべてのサーバーにインストールする必要のある新しい修正プログラムがリリースされることもあります。別のケースでは、新たにオンラインにしたサーバーに適切な修正プログラムを適用する必要があるでしょう。すべてのサーバーについての分析を継続的に行って、それらが最新の修正プログラムすべてを適用して完全に更新されているようにしなければなりません。この点で助けとなる、多くのツールがあります。
Microsoft Baseline Security Analyzer
MBSA (Microsoft Baseline Security Analyzer) は、Windows NT 4.0、Windows 2000、 Windows XP Professional、および Windows XP Home Edition を実行しているコンピュータをスキャンするために設計されました。MBSA は、Windows 2000 Professional、Windows 2000 Server、Windows XP Home、または Windows XP Professional を実行しているどのコンピュータからでも実行できます。
安全なシステムを運用する上で特に重要な要素の 1 つは、セキュリティ修正プログラムについての最新の情報を得ることです。システムにどの修正プログラムが適用されたかを知ることも重要ですが、どの修正プログラムが適用されていないかを知ることはさらに重要です。MBSA ツールは、マイクロソフトが継続的に更新している XML (Extensible Markup Language) データベースを参照することによってこのことを行います。MBSA は、この目標を達成するためにマイクロソフトが 2001 年 8 月にリリースした、よく知られている「HFNetChk」ツールを使用します。
XML ファイルには、マイクロソフトの各製品でどの修正プログラムが利用可能かについての情報が含まれています。このファイルには、セキュリティ問題の記号名とタイトル、および製品固有のセキュリティ 修正プログラムについての詳細なデータが含まれています。そのようなデータとしては、各修正プログラム パッケージ内のファイルと、それらのファイル バージョンとチェックサム、修正プログラム インストール パッケージによって適用されたレジストリ キー、どの修正プログラムが他の修正プログラムを置き換えるかについての情報、関連するサポート技術情報の文書番号などがあります。
MBSA ツールの最初の実行時には、ツールはこの XML ファイルのコピーを取得する必要があります。各製品で利用可能な修正プログラムを見つけられるようにするためです。XML ファイルは、マイクロソフトのダウンロード センターの Web サイトから、圧縮形式 (デジタル署名された .cab ファイル) で入手できます。MBSA は .cab ファイルをダウンロードし、署名を確認してから MBSA が動作しているローカル コンピュータに展開します。cab ファイルは、WinZip (.zip) ファイルと似た圧縮ファイルであることに注意してください。
注 MBSA は、実行のたびにマイクロソフトから XML ファイルをダウンロードしようとして、インターネットへの接続を試みます。インターネット接続が利用可能でない場合には、ツールはそのインストール フォルダ内に XML ファイルのローカルのコピーがあるかどうかを探します。スキャン時にファイルが正常にダウンロードできると、次回以降のスキャンでインターネットに接続できない場合に備えて、ローカルのコピーをコンピュータ上に保管します。それ以外の、インターネットに決して接続することのないコンピュータの場合には、ユーザーがこのファイルをマイクロソフトのダウンロード センターのサイトからダウンロードして、ツールを実行するコンピュータ上にコピーできます。
.CAB ファイルの展開後に、MBSA は、そのコンピュータ (または選択されたコンピュータ) をスキャンして、オペレーティング システム、サービス パック、および実行中のプログラムを判定します。その後 MBSA は XML ファイルを解析し、インストールしたソフトウェアの組み合わせに対して利用可能なセキュリティ修正プログラムを識別します。
MBSA がコンピュータに特定の修正プログラムがインストールされているかどうかを決める際には、修正プログラムがインストールするレジストリ キー、ファイルのバージョン、および修正プログラムがインストールするファイルごとのチェックサムという、3 つの項目を評価します。
既定の構成では、MBSA は XML のサブセットからのファイルの詳細およびレジストリ キーの両方を、スキャンしているコンピュータ上のファイルとレジストリの詳細と比較します。コンピュータ上のファイルとレジストリ キーの詳細のいずれかが、XML ファイルに格納されている情報と一致しない場合には、それに関連するセキュリティ修正プログラムがインストールされていないものとして判断して、その結果をセキュリティ レポートに表示します。修正プログラムと関連する、特定のサポート技術情報の文書番号も、画面に表示されます。
一般に MBSA は、「Guest」 アカウントのステータス、ファイル システムのタイプ、利用可能になっているファイル共有、管理者グループのメンバーなど、Windows オペレーティング システム (Windows NT 4.0、Windows 2000、および Windows XP) 内のセキュリティ上の問題点をスキャンします。セキュリティ レポートには、各オペレーティング システムのチェックについての説明と、見つかった問題の解決法についての指示が示されます。
注 MBSA を使用するには、ローカルの管理者、または修正プログラムをチェックするコンピュータへのドメイン管理者アクセスのいずれかが必要です。
このツールには、次の表に示すとおり、多数のコマンド ライン スイッチがあります。MBSA スタイルのスキャンは、MBSA version 1.0 の場合と同様に、結果を個別の XML ファイルに保管します。これは後で MBSA ユーザー インターフェイス内で表示できます。MBSA スタイルのスキャンには、利用可能な Windows、IIS、Microsoft SQL Server デスクトップ アプリケーション、およびセキュリティ更新チェックのフル セットが含まれます。
注 MBSA Version 1.1 は現在、英語版システム専用です。
表 8.1 MBSA スタイルのコマンド ライン スイッチ
| スイッチ | 機能 |
|---|---|
| スキャンするコンピュータの選択 | |
| <オプションなし>
|
ローカル コンピュータをスキャンします。 |
| /c <ドメイン名>\<コンピュータ名>
|
指定された名前のコンピュータをスキャンします。 |
| /i <xxx.xxx.xxx.xxx>
|
指定された IP アドレスのコンピュータをスキャンします。 |
| /r <xxx.xxx.xxx.xxx - xxx.xxx.xxx.xxx>
|
指定された範囲の IP アドレスのコンピュータをスキャンします。 |
| /d <ドメイン名>
|
指定されたドメインのコンピュータをスキャンします。 |
| 実行しないスキャン オプションの選択 (/n OS+IIS+Updates のように短縮可能) | |
| /n IIS
|
IIS のチェックをスキップします。 |
| /n OS
|
Windows オペレーティング システム (OS) のチェックをスキップします。 |
| /n Password
|
パスワードのチェックをスキップします。 |
| /n SQL
|
SQL のチェックをスキップします。 |
| /n Updates
|
セキュリティ更新のチェックをスキップします。 |
| セキュリティ更新のスキャン オプション | |
| /sus <SUS サーバー>
|
指定された SUS サーバーで承認されたセキュリティ更新だけをチェックします。 |
| /s 1
|
セキュリティ更新のチェックの注意を抑制します。 |
| /s 2
|
セキュリティ更新のチェックの注意と警告を抑制します。 |
| /nosum
|
セキュリティ更新のチェックで、ファイルのチェックサムをテストしません。 |
| 出力ファイル名のテンプレートの指定 | |
| /o %domain%
|
%computername% (%date%) |
| 結果と詳細の表示 | |
| /e
|
最新のスキャンでのエラーをリスト表示します。 |
| /l
|
利用可能なすべてのレポートをリスト表示します。 |
| /ls
|
最新のスキャンでのレポートをリスト表示します。 |
| /lr <レポート名>
|
概要レポートを表示します。 |
| /ld <レポート名>
|
詳細レポートを表示します。 |
| その他のオプション | |
| /?
|
使用方法のヘルプを表示します。 |
| /qp
|
進行状況を表示しません。 |
| /qe
|
エラー リストを表示しません。 |
| /qr
|
レポート リストを表示しません。 |
| スイッチ | 機能 |
|---|---|
| スキャンするコンピュータの選択 | |
| -h <ホスト名>
|
指定された NetBIOS 名のコンピュータをスキャンします。既定の場所はローカル ホストです。ホスト名をコンマで区切ることにより、複数のホストをスキャンできます。 |
| -fh <ファイル名>
|
指定したテキスト ファイル内で指定されている NetBIOS (network basic input/output system) 名のコンピュータをスキャンします。テキスト ファイルには、コンピュータ名を改行で区切って記述します。最大で 256 台まで指定できます。 |
| -i <xxx.xxx.xxx.xxx>
|
指定された IP アドレスのコンピュータをスキャンします。エントリをコンマで区切ることにより、複数の IP アドレスをスキャンできます。 |
| -fip <ファイル名>
|
指定したテキスト ファイル内で指定されている IP アドレスをスキャンします。txt ファイルには、IP アドレスを改行で区切って記述します。最大で 256 エントリまで指定できます。 |
| -r <xxx.xxx.xxx.xxx - xxx.xxx.xxx.xxx>
|
指定された範囲の IP アドレスのコンピュータをスキャンします。 |
| -d <ドメイン名>
|
指定されたドメインのコンピュータをスキャンします。 |
| -n
|
ローカル ネットワークのすべてのコンピュータをスキャンします。[ネットワーク コンピュータ] 内の、すべてのドメインのすべてのコンピュータをスキャンします。 |
| どのスキャン オプションを実行または表示するか、またはしないかを指定 | |
| -sus <SUS ファイル名 | SUS サーバー>
|
SUS テキスト ファイル、または SUS ファイルの取得先 SUS URL を指定します。ファイルまたはサーバーを指定しない場合は、エンジンはローカル コンピュータのレジストリに格納されている値を使用しようとします。 |
| -b
|
Microsoft Security Response Center により緊急 (baseline critical) と評価された更新だけを対象にして、コンピュータをスキャンします。 |
| -fq <ファイル名>
|
出力を抑制する Q 番号を含んでいるファイルの名前を指定します。Q 番号は、改行で区切って記述します。このスイッチは、指定されたアイテムの表示出力だけを抑制します。アイテムをスキャン中の考慮の対象から除外するわけではありません。 |
| -s
|
注意 (NOTE) と警告 (WARNING) のメッセージを抑制します。既定では、どちらのメッセージも抑制しません。このスイッチでは、以下のオプションを使用できます。 (1) 注意メッセージだけを抑制 (2) 注意と警告のメッセージの両方を抑制 |
| -nosum
|
セキュリティ更新ファイルのチェックサムの確認を行いません。一般的な状況では、このスイッチを使用する必要はありません。 |
| -sum
|
英語以外の言語のシステムをスキャニングする際に、強制的にチェックサム スキャンを行います。このスイッチは、言語固有のチェックサムを持つ、カスタムの XML ファイルがある場合にのみ使用してください。 |
| -z
|
レジストリのチェックを行いません。 |
| -history
|
明示的にインストールされた更新、明示的にインストールされなかった更新、またはその両方を表示します。このスイッチは、通常の処理では必要ありません。非常に特殊な状況以外には使用しないでください。このスイッチでは、以下のオプションを使用できます。 (1) 明示的にインストールされた更新だけを表示 (2) 明示的にインストールされなかった更新だけを表示 (3) 明示的にインストールされた更新とインストールされなかった更新を表示 |
| -v
|
テストがラップ モードでは動作しなかった理由を表示します。このスイッチは、セキュリティ更新が「適用されていない」とされた場合、または注意や警告のメッセージが出た場合に、その理由を表示するために使用できます。 |
| 出力フォーマットおよびファイル名の指定 | |
| -o
|
希望する出力形式を指定します。このスイッチでは、以下のオプションを使用できます。 (tab) 出力をタブ区切り形式で表示 (wrap) 出力をワードラップ形式で表示 |
| -f <ファイル名>
|
結果を保存するファイルの名前を指定します。このスイッチは、ラップとタブ出力のどちらでも使用できます。 |
| その他のオプション | |
| -t
|
スキャンを実行するために使用されるスレッドの数を表示します。可能な値は 1 ~ 128 で、既定値は 64 です。このスイッチは、スキャンの速度を下げる (または上げる) ために使用できます。 |
| -u <ユーザー名>
|
ローカルまたはリモートのコンピュータ、またはコンピュータのグループをスキャンする際に使用するユーザー名を指定します。このスイッチは、-p (パスワード) スイッチと共に使用しなければなりません。 |
| -p <パスワード>
|
ローカルまたはリモートのコンピュータ、またはコンピュータのグループをスキャンする際に使用するパスワードを指定します。このスイッチは、-u (ユーザー名) スイッチと共に使用しなければなりません。セキュリティ上の理由から、パスワードがクリア テキストでネットワーク上に送られることはありません。代わりに、MBSA は、Windows NT 4.0 以降に組み込まれている challenge-response メカニズムを使用して、認証プロセスを保護します。 |
| -x
|
利用可能なセキュリティ更新の情報を含んでいる XML データの出所を指定します。XML ファイル名、圧縮した XML .cab ファイル、または Uniform Resource Locator (URL) を指定できます。既定のファイルは、マイクロソフトの Web サイトにある、Mssecure.cab ファイルです。このスイッチを使用しなかった場合には、マイクロソフトの Web サイトから、mssecure.xml ファイルをダウンロードします。 |
| -ver
|
MBSA の利用可能な最新バージョンを実行しているかどうかをチェックします。 |
| -trace
|
トラブルシューティングのために、デバッグ ログ (ローカル ディレクトリの hf.log) を作成します。このスイッチは、コマンド ラインの最初のスイッチとして指定することが必要です。他のスイッチと組み合わせて使用することができます。 |
| -about
|
MBSA についての情報を表示します。 |
MBSA を使用して修正プログラムの状況を確認する場合には、定期的に実行するようにしてください。ほとんどの環境では、設定済みの間隔に合わせて実行するようスケジュールを設定するのが最善です。
注 MBSA の使用方法についての詳細は、https://www.microsoft.com/japan/technet/security/tools/mbsahome.mspx を参照してください。
修正プログラムの管理スクリプト
このガイドには、修正プログラムの管理スクリプトである MBSAPatchCheck.cmd が含まれています。これは、複数のサーバーをチェックして適用されていない修正プログラムを探し、その結果を日付ベースのフォルダ内にログ ファイルとして記録するものです。このスクリプトは、MBSA を使用してサーバーをスキャンし、movelog.vbs という別のスクリプトを使用してファイルを適切なフォルダに移動します。時間の経過とともに、これらのフォルダは履歴となり、これらを分析および再確認のフェーズの一環として調べれば、環境をより安全に保つ上で役立ちます。
注 このガイドに含まれているスクリプトを実行するには、MBSA version 1.1 以降が必要です。
このガイドに含まれているスクリプトをダウンロードして展開すると、以下のような構造の修正プログラムの管理スクリプト用のフォルダが作成されます。
表 8.3 修正プログラムの管理スクリプト用のフォルダ構造
| フォルダ | 説明 |
|---|---|
| C:\SecurityOps | このガイドに含まれるすべてのファイルのルート フォルダです。 |
| C:\SecurityOps\PatchMgmt | このフォルダには、修正プログラムの管理スクリプト、MBSAPatchCheck.cmd、movelog.vbs スクリプト、およびサポート ファイルとログのためのサブフォルダが含まれます。また、mssecure.xml ファイルもこのフォルダに格納しなければなりません。 |
| C:\Program Files\Microsoft Baseline Security Analyzer\ | このフォルダは、MBSA ユーティリィティをマイクロソフトの Web サイトからダウンロードした後に置く場所です。詳細な手順については、後述します。 |
| C:\SecurityOps\PatchMgmt\ServerLists | このフォルダは、適用されていない修正プログラムをスキャンするサーバーのグループのリストを記したテキスト ファイルを作成して保管する場所です。 |
| C:\SecurityOps\PatchMgmt\Logs | このフォルダは、MBSAPatchCheck.cmd の実行後にログ ファイルが作成される場所です。スクリプトは \SecurityOps\PatchMgmt\Logs\2002117 のように、ログ ファイルを格納した日付のサブフォルダを作成します。 |
重要 このガイドに含まれるファイルを C ドライブ以外のパーティションにインストールする場合には、そのパーティションを使用するように、MBSAPatchCheck.cmd ファイル内のパスを編集する必要があります。
SUS で使用するために MBSAPatchCheck.cmd スクリプトをセットアップするには
SecurityOps.exe を実行してこのガイドに含まれるスクリプト ファイルを展開し、表 8.3 に示されているフォルダ構造を作成します。SecWin2k.exe という自己展開型実行ファイルから展開すると、このファイルは既定で C:\SCI\Scripts に格納されます。
https://download.microsoft.com/download/c/8/2/c823a585-f5dc-4947-9d92-72652bcd2576/MBSASetup-JA.msi から MBSA ユーティリティをダウンロードして、既定のフォルダ (C:\Program Files\Microsoft Baseline Security Analyzer) にインストールします。
インターネットに接続していないコンピュータでスクリプトを実行する場合には、Mssecure.xml ファイルをダウンロードして展開することも必要です。Mssecure.xml は MBSA フォルダ内に格納します。
サーバーのリストのテキスト ファイルを作成して、C:\SecurityOps\PatchMgmt\ServerLists に置きます。
これは、チェックするサーバーの NetBIOS 名を改行で区切ったテキスト ファイルです。
- コマンド プロンプトを開いて C:\SecurityOps\PatchMgmt フォルダに移り、次のコマンド ラインによってスクリプトを開始します。
MBSAPatchCheck.cmd serverlist.txt
ここで serverlist.txt は、サーバーのリストのテキスト ファイルの名前です。
注 mssecure.xml ファイルをダウンロードするかどうか尋ねるダイアログ ボックスが表示されたら [Yes] をクリックします。
C:\SecurityOps\PatchMgmt\Logs フォルダに移り、今日の日付のフォルダを開いて、serverlist.txt ファイルと同じ名前のファイルを開きます。
ログ ファイルを調べて、サーバーに適用されていない修正プログラムを確認します。
注 同じ日に修正プログラムの管理スクリプトを 2 回実行した場合には、最初に実行したときのログ ファイルは上書きされます。
複数のサーバー リストを使用する
大規模なネットワークには様々なタイプのサーバーがあるでしょう。リスク管理プロセスの一環として、一部のサーバーでは他のものより頻繁に適用されていない修正プログラムの監視が必要だと考えるかもしれません。
複数のサーバー リストを使用すれば、異なるタイプのサーバーを異なる間隔でスキャンするように、修正プログラムの管理スクリプトのスケジュールを設定できます。複数のサーバー リストは、異なるグループのサーバーの責任をそれぞれ別の管理者が負うようにする場合にも役立ちます。複数のリストを使用すれば、管理者のグループごとに適用されていない修正プログラムについて個別の報告書を作成することができるでしょう。
たとえば、次の図に示す Contoso ネットワークの場合、異なるグループの管理者が修正プログラム報告書を提出できるように、5 つのサーバー リスト ファイルを作成できます。
.gif)
図 8.2: 単純なネットワークでのサーバー リスト ファイル
拡大表示する
この例では、各タイプのサーバー用のサーバー リスト ファイルに、対応するサーバーの名前が含まれることになります。たとえば、File&Print.txt の内容は次のようになります。
.gif){kind=link}
FP01 FP02 FP03
5 番目のサーバー リスト ファイル、Servers.txt には環境内にあるすべてのサーバーが含まれています。セキュリティ チームでは、このスキャンの結果を利用して、各グループが最新の修正プログラムによってサーバーを最新の状態にしていることを確認できるでしょう。
修正プログラムの管理スクリプトのスケジュール設定
MBSAPatchCheck.cmd を一定の間隔で動作させるため、ツールを定期的に実行するようにスケジュールを設定することを考慮しておくとよいでしょう。これは、タスク スケジューラまたは AT コマンドを使用して行えます。複数のサーバー リストを使用すれば、異なるサーバーのチェックを別なときに行うようにすることもできます。
注 既定では、スケジュール サービスはメンバー サーバーおよびドメイン コントローラーのベースライン ポリシーで無効にされています。修正プログラムの管理スクリプトのスケジュールを設定する場合には、サービスを有効ににする必要があります。
修正プログラムのレベルを判断する他の方法
お使いの環境のどこかで MBSA ツールを使用することを望まない、または使用できない場合には、修正プログラムがインストールされているかどうか判断するための他の方法があります。
最も簡単な方法は、レジストリの HKLM\Software\Microsoft\Windows Nt\Currentversion\hotfix キーの下を見てみることです。新しい修正プログラムがインストールされると、その修正プログラムについて扱っているサポート技術情報の文書番号に対応する Q ネームを持つキーが追加されます。ただしこれは、古い修正プログラムやある種のアプリケーション用の修正プログラムには当てはまりません。
修正プログラムのレベルを判断するための他のツール
この情報を集めるために使用できるものとして、マイクロソフトでは以下の 2 つのツールを無償で提供しています。
Qfecheck.exe /v このツールは、サーバーにインストールされているサービス パックのレベルと修正プログラムのバージョンについての情報を表示します。Qfecheck はまた、修正プログラムが環境に適切にインストールされていない場合、そのことを知らせます。
Hotfix.exe -l このツールは、サーバーにインストールされている修正プログラムの数とバージョンを表示します。
計画
すべての脅威や脆弱性が環境に重大なリスクを及ぼすわけではありません。オペレーティング システムやアプリケーションのに対する新しい潜在的な脆弱性についての通知を読む際には、これらの脆弱性がお使いの環境に当てはまるかどうかを評価してください。
たとえば、その脆弱性が Windows 2000 のファイル転送プロトコル (FTP) サービスに当てはまるものである場合、このサービスを有効にすることが全くないとすれば、その脆弱性は当てはまらないことになります。今年、ハリケーンの可能性が高いとしても、IT 環境が内陸部にある場合、その脅威がごく小さいのと同じようなことです。
お使いの環境に当てはまらない脅威や脆弱性にも対応しようとすると、有用なリソースを消費することになり、相応の利点がないにもかかわらず、環境の安定性に影響を及ぼすことにもなりかねません。
新しい脅威や脆弱性が発生した場合、それらについてのサポート情報を読んでください。そうすれば、十分な情報に基づいて環境へのリスクのレベルについての判断を下し、適切な対応を取ることが可能になります。主要な選択肢としては、処置を講じないこと、リスクの存在するサービスを無効にすること、または修正プログラムを展開することがあります。
重要 新しい修正プログラムの展開計画を作成する場合には、ロールバック計画も作成するべきです。
新しい修正プログラムについての最新情報を得るには、マイクロソフトから定期的なセキュリティ情報を受信するようにしてください。このセキュリティ情報を購読するには、マイクロソフトのセキュリティ Web サイトから申し込んでください。詳細については、この章の最後の「詳細情報」のセクションを参照してください。
修正プログラムの分類
新しい修正プログラムが入手可能になるたびに、お使いの環境でのその重要性を判断してください。そうすれば、いつごろ展開する必要があるか、テストの余裕はどれほどあるかを判断できるでしょう。
マイクロソフトでは、それぞれの脆弱性について重大性の評価を行っており、それはセキュリティ情報のタイトルに含められます。次の表は、重大性のレベルを示しています。
表 8.4 マイクロソフトの定義による脆弱性の重大性
| コンピュータのタイプ | 重大性のレベル | ||
|---|---|---|---|
| 高 | 中 | 低 | |
| インターネット サーバー | Web サイト改ざん、サービス拒否、フル コントロール | 利用困難、特別な設定、一時的な影響 | 限られた影響 (スクリプトの漏えい等) |
| 内部サーバー | アクセス権の昇格、データの漏えいおよび改ざん、監査が困難 | 監査可能データの漏えい、改ざん、サービス拒否 | 無作為的な、部分的なデータ盗難、改ざん。限られたサービス拒否 |
| クライアント システム | ユーザーの操作なしでの任意のコードの実行、リモートでのアクセス権の昇格 | ローカル アクセス権の昇格、無作為的なデータ漏えい、サービス拒否、ユーザーの操作の利用 | 限られた、部分的なデータ盗難、改ざん。悪質な Web サイトの攻撃 |
重大性評価システムは、脆弱性が利用された場合に及ぼし得る影響と、そのことが生じる可能性の高さに基づいて分類しています。
重大性評価システムは、修正プログラムの分類のためのガイドとして用いることができます。しかし、マイクロソフトの重大性評価システムは、世界の何百万という顧客に対する潜在的な影響を全体的に評価したものです。重大性の評価は、過去の経験と主観的な判断に基づいています。これらの理由から、それぞれの環境に対する影響については正確な予想とはならない場合があります。どのような場合でも、お使いの環境に基づいて修正プログラムを分類する必要があります。
修正プログラムのテスト
どんなソフトウェアでも言えることですが、修正プログラムはあらゆる環境で完全に動作するとは限りません。理想的には、お使いの環境にインストールする修正プログラムはすべて徹底的にテストすべきです。しかし、多くのセキュリティ修正プログラムは、潜在的に重大な問題を解決するため、急いでインストールすることが必要です。
多くの場合、テストの手順は、セキュリティ問題の解決の必要性と、環境において修正プログラムが安定していることの保証の必要性の、妥協案となるでしょう。
どの程度のテストが適切かは、どのように修正プログラムを分類したかに応じて決まります。次の表は、マイクロソフトの分類に基づいて、それぞれの修正プログラム タイプで行なうべきテストの最小限のレベルを示しています。Contoso のシナリオでは、推奨された修正プログラムをインストールした後でも、それぞれのサーバーの役割が適切に機能するという確証が得られることを望みました。このことは、様々なクライアント コンピュータが、それぞれのサーバーで動作しているネットワーク サービスに引き続き接続できるかを検証することと、すべての事柄が期待通り動作するかを確認するための他の基本的なテスト手順を実行することによって、行いました。
表 8.5 修正プログラムに対する最小限のテスト
| 修正プログラムのタイプ | テスト フェーズ |
|---|---|
| 重大性「高」の修正プログラム | 修正プログラムの評価 サーバーの動作の評価 (部分的) |
| 重大性「中」の修正プログラム | 修正プログラムの評価 テスト環境への修正プログラムのインストール サーバーの動作の評価 (完全) アンインストールの手順のチェック |
| 重大性「低」の修正プログラム | 修正プログラムの評価 テスト環境への修正プログラムのインストール サーバーの動作の評価 (完全) アプリケーションの動作の評価 アンインストールの手順のチェック |
リスク管理の手順の一環として、それぞれの段階をどの程度徹底的に実行するかを決定する必要があるでしょう。緊急を要するためにいくつかの段階をスキップした場合でも、すでに展開したシステムで何らかの問題が生じる前に、その問題の可能性を見つけるために、後でそれらをテスト環境で実行してください。
すべてのテストは、稼動中のサーバーとできるだけ共通点の多いサーバーで行ってください。
修正プログラムの評価
修正プログラムの評価には、少なくとも以下のステップが含まれている必要があります。
修正プログラムの所有者を指定する - どの修正プログラムについても、修正プログラムの評価を担当する所有者を決めておくべきです。
関連文書をすべて見直す - どのサービス パック、修正プログラム、またはセキュリティ修正プログラムについても、適用の前にすべての関連文書を読み、同僚に確認してもらうべきです。同僚による確認プロセスは、更新を評価する際、一個人による重要なポイントの見落としというリスクを小さくする上で非常に重要です。
修正プログラムの分類を確認する - 修正プログラムを評価した後に、その分類を変更する必要があるかもしれません。これは、テストの他の面にも影響するでしょう。
関連文書を読む際には、以下の質問への答えを探してください。
更新は現在の問題に当てはまり、未解決の問題を解決しますか。
更新の適用は、稼動システムの危険にかかわる他の問題を引き起こしますか。
更新に関連した依存関係がありますか (たとえば、最新版を有効にするために、特定の機能を有効または無効にする必要があるでしょうか)。
更新の展開の前に実行しておかなければならないことがありますか。
更新と共にリリースされた文書の確認に加え、マイクロソフトのサポート Web サイトを調べて、更新についての追加のポストリリース情報がないかどうか確かめてください。TechNet では、セキュリティ情報を Web サイト上の (製品名やサービス パックによって) 検索可能なデータベースとしても公開しています。これらの資料は、参照する必要がある重要な情報を提供します。
インストール
インストールの際には、修正プログラムが正しくインストールされることを確認し、再起動が必要かどうかを理解し、また、必要なディスク容量 (アンインストール用のフォルダを含めて) を知り、どのようなオプションが利用可能かどうかを理解しておく必要があります。また、修正プログラムの適用による利益と不利益を評価している付加的な情報があれば、それを読んでおかなければなりません。
サーバーの動作
修正プログラムをインストールした場合、サーバーが正常に動作し続けていることを確かめる必要があります。イベント ログやシステム モニタによって、予期しなかった結果が生じていないかどうかを監視するのも良いでしょう。
サーバーの全機能をテストして、すべてが正常に動作することを確かめてください。すべてが正常に機能しているかどうかを判断するまでにどれくらいの時間サーバーを動作させることができるかは、特定のサーバー上で、特定の脆弱性についてどの程度のリスクを扱えるかによって決まります。何らかの問題があった場合には、文書化してできるだけ早くマイクロソフトにご報告ください。
注 イベント ログやシステム モニタの情報を集めるには、MOM (Microsoft Operations Manager) を使用できます。
アプリケーションの動作
テスト プロセスの一環として、修正プログラムとサーバーに共存しているアプリケーションとの関係もテストし、依存関係に関連した問題がないかどうかも確かめてください。修正プログラムのインストール後に、すべてのアプリケーションが以前のとおり動作していることをチェックします。
アンインストール
テストを行ったにもかかわらず、修正プログラムのインストール後に問題が生じて、修正プログラムをアンインストールすることが必要となる場合もあります。そのため、アンインストールの動作もテストしておくことが重要です。アンインストール後には、サーバーが通常通り動作し続けているかどうかをチェックし、イベント ログとシステム モニタのカウンタの監視を継続します。
ロールバック計画の作成
テストが全く問題なく完了したとしても、組織全体に修正プログラムを展開させたときに問題が生じる可能性は残ります。修正プログラムを展開する前に、システムを元の状態に戻すための作業計画を立てておくことが必要です。
場合によっては、インストールの前に、サーバーのスナップショット バックアップを作成することができるでしょう。そうすれば、問題があった場合でも、サーバーを非常に速く復元できます。組織でのロールバック計画がどのようなものであるとしても、それは徹底的にテストすべきです。
修正プログラムの展開
テストが順調に終わったら、組織全体に修正プログラムを展開する用意が整ったことになります。展開には、以下の方法やプロセスを含む多くの方法があります。
手動による展開
グループ ポリシー
スクリプト
注 修正プログラムの展開についての補足的な情報は、この章の「詳細情報」でも参照している、TechNet の「Best Practices for Applying Service Packs, Hotfixes and Security Patches」という記事をご覧ください。
手動
手動による修正プログラムのインストールは、ほとんどの組織での最も一般的なインストール方法です。これは、各サーバー上で単純に修正プログラムに対応する実行可能ファイルを実行することです。しかし、組織に多数のサーバーがある場合は現実的なオプションではないかもしれません。
ほとんどの修正プログラムの名前には重要な情報が含まれています。修正プログラムの典型的な名前の例としては、Q292435_W2K_SP3_x86_en.EXE があります。
この場合、名前の各部分には以下のような意味があります。
292435 は、サポート技術情報の文書番号で、その修正プログラムについての詳細が記されています。
W2K は、対象となる製品を表します (Microsoft Windows 2000)。
SP3 は、後で含められるサービス パックを示しています。
x86 は、対象となるプロセッサ アーキテクチャです。
en は、修正プログラムがどの言語でリリースされたかを示しています (この場合は英語)。
注 ファイル名が QXXXXXX.exe などで、W2K_SP3_x86 のような記号が含められていない修正プログラムは、Internet Explorer などのアプリケーションに固有のものです。
修正プログラムはまた、インストール プロセスの動作をコントロールするために使用できる、いくつかのコマンドライン スイッチをサポートしています。
表 8.6 修正プログラム実行ファイルのスイッチ
| スイッチ | 説明 |
|---|---|
| -y | アンインストールを行います。 |
| -f | シャットダウン時にアプリケーションを強制的に終了します。 |
| -n | アンインストール用のディレクトリを作成しません。 |
| -z | 更新が完了しても、再起動しません。 |
| -q | QUIET モード - ユーザー インターフェイス (UI) を表示しません。 |
| -m | 無人モード。 |
| -l | インストール済みの修正プログラムをリスト表示します。 |
注 QXXXXXX.exe というファイル名のアプリケーション固有の修正プログラムは、通常、上記のスイッチすべてをサポートしてはいません。
スクリプトによって複数の修正プログラムのインストールを行う場合、 -q と -z スイッチを使用すると、ユーザー インターフェイスを表示せず、また再起動を行わずにインストールできます。
通常、複数の修正プログラムをインストールする場合には、コンピュータを毎回再起動することが必要です。これは、ロックされた、または使用中のファイルについては置き換えることができないため、キューの中に入れられてシステムの再起動後に置き換えられるからです。
QChain は、複数の修正プログラムを結合し、インストールのたびに再起動せずに 1 回の再起動で済ませることを可能にするツールです。Qchain を使用する場合には、修正プログラムのインストーラに -z スイッチを付けて実行し、インストール後に再起動しないように指定します。その後 QChain.exe を実行し、コンピュータを再起動します。
注 QChain は TechNet から入手できます。詳細については、この章の最後の「詳細情報」のセクションを参照してください。
サービス パックや修正プログラムの適用後に、ドメイン ネーム システム (DNS) のような付加的なコンポーネントを追加した場合には、その新しいコンポーネントにも適切に修正が加えられるように、サービス パックと修正プログラムをもう一度適用しなければなりません。
グループ ポリシー
Windows 2000 では、グループ ポリシーを使用したソフトウェアの配布をネイティブにサポートしています。修正プログラムは通常、Windows インストーラ パッケージの形態を取っていません。しかし、このような実行ファイルは .zap ファイルと組み合わせて使用できます。
Windows インストーラ パッケージを使用しないアプリケーションは、.zap ファイルを使用してそれらの既存のセットアップ プログラムについて記述しなければなりません。zap ファイルは テキスト ファイル (.ini ファイルと同様) で、プログラムのインストール方法、アプリケーションのプロパティ、およびアプリケーションがインストールするエントリ ポイントについての情報を提供します。
.zap ファイルはユーザーにのみ割り当てることができます。このことは、修正プログラムを配布するグループ ポリシーをセットアップした後に、.zap ファイルを割り当てたユーザー アカウントでコンピュータにログ オンする必要があることを意味しています。
注 .zap ファイルの作成およびグループ ポリシーを使用する割り当てについての詳細は、サポート技術情報の記事 Q231747、「.zap ファイルを用いて非 MSI プログラムを公開する方法 」を参照してください。
スクリプト
Microsoft Visual Basic Scripting Edition (VBScript) 言語またはバッチ ファイルを使用して、修正プログラムを展開するための独自のスクリプトを作成することもできます。これらは、現在の修正プログラム ステータスを確認して中央サーバー上に置かれた更新を確認する、ログオンまたはスタートアップ スクリプトの形式にすることができます。
スクリプトには、複数の修正プログラムが必要な場合に 1 回の再起動で済ませられるよう、Qchain を含めておくことができます。
監視
稼動環境へ修正プログラムをインストールしたら、サーバーを監視し続ける必要があります。イベント ログおよびシステム モニタのカウンタに注目し、問題がないかどうか確認してください。2~3 週間以内に何らかのエラーが生じた場合には、展開した修正プログラムと関係がないかどうか確かめるためにテストを行います。また、時間的に厳しい状況で十分なテストを行っていない修正プログラムを適用した場合には、見落とした点がないかどうか確かめるために、テスト環境でのテストを続けてください。
新しいサーバーが、最新の修正プログラムをインストールしないままネットワークに接続されることのないようにするため、既存のサーバーの監視と同様に、環境全体の監視も非常に重要です。新しいサーバーでは最新のビルドを使用してください。組織の監視ポリシーによって、この点を確実にしておく必要があります。
再確認
どのようなプロセスでも、適切に動作していると確信できるのは再確認を行った場合だけです。各修正プログラムで修正プログラムの管理プロセスを完了したら、それぞれが正しく展開されすべての手順が正確に実行されたことを確認するために、調査を行います。このことは、修正プログラムの管理プロセスが正しく機能し続ける上で役立つでしょう。プロセスを確認する際には、他の変更がないかどうか、環境の分析を続けてください。変更があれば、再び修正プログラムの管理プロセスを開始する必要があります。
その他のツール
この章でここまで述べた推奨事項に従っていれば、組織内で効率的に修正プログラムを管理するための準備ができたことになります。修正プログラムの管理プロセスをさらに自動化するためには、他にも数多くのツールがあります。
Microsoft Systems Management Server
組織内に Microsoft Systems Management Server (SMS) を展開している場合には、前述の多くの段階で助けとして使用できます。
Microsoft Security Tool Kit には、推奨される IIS セキュリティ フィックスの配布とインストールを自動化するために使用する、SMS インポート ユーティリティが含まれています。SMS は、どのコンピュータがセキュリティ フィックスを必要としているかを判断し、展開するのに役立ちます。
SMS のソフトウェア配布機能は、環境内の、SMS クライアントのあるすべてのコンピュータに修正プログラムを展開するために使用できます。修正プログラム用のソフトウェア パッケージを作成すれば、環境内のすべてのコンピュータ、または任意のコンピュータに対し、強制的なアップグレードを実行できます。この柔軟な機能の主な利点の 1 つは、どのコンピュータに修正プログラムがインストールされたかを監視できるということです。ただし、ほとんどの場合において、これらのタイプのアップグレードを正しく展開するには SMS 管理者または SMS パッケージ作成についての知識を持つ人が必要でしょう。
サードパーティのツール
以下に紹介する多数のサードパーティ ツールが、修正プログラムの管理の助けとして利用可能です。これらのツールは、マイクロソフトの無償のツールでは現在のところ利用できないいくつかの機能を提供しています。たとえば、フィックスの展開およびステータスの報告、同様の更新が必要なコンピュータのグループの作成、上記のツールでは扱っていない他の製品のサポート、管理上のタスク用のグラフィカル ユーザー インターフェイス (GUI) コマンド エリア、などです。これらの機能を評価して、お使いの環境で必要かどうかを決めてください。
Polaris Group Hotfix/Service Pack Utility
このツールは、使いやすい GUI を持ち、マイクロソフトのすべての製品をサポートしています。指定した企業内の標準に基づいて、動作しているすべてのコンピュータにサービス パックや修正プログラムを展開するプロセスを自動化することができます。
Shavlik Hfnetchkpro
このツールは、HFNetChk 技術に基づいて構築されています。コマンド ライン バージョンにはない GUI オプションがあり、スキャンの履歴を保存することが可能です。
Bindview Security Advisor
Bindview のツールには、基準に適合していないコンピュータをチェックするプロセスを単純化する上での助けとなる GUI があります。また、更新サービスもあり、新しい修正プログラムがいつリリースされたかを知らせます。
https://www.symantec.com/business/solutions/index.jsp?ptid=tab2&ctid=tab2_2
Pedestal Software の Security Expressions
このツールは、管理者が Windows および UNIX ベースのコンピュータに対するセキュリティ ロック ダウン ポリシーの実装を可能にします。また、修正プログラムをチェックして、必要であれば自動的にそれらをダウンロードし、インストールする機能もあります。
https://www.symantec.com/index.jsp
まとめ
IT セキュリティに対する侵害の大多数は、セキュリティ修正プログラムによって完全に最新の状態に保たれていないシステム環境を利用しています。優れた修正プログラムの管理は、直面するセキュリティ上のリスクを最小限にする意味で重要です。修正プログラムの管理を真剣に受けとめて対処することにより、セキュリティの侵害に関連するコストを大幅に縮小できるでしょう。Contoso のシナリオでは、修正プログラムの管理が継続的なプロセスであることを認識しました。また、サーバーがプロジェクト全体を通して、セキュリティ関連の修正プログラムによって最新の状態に保たれていることを確認しました。
詳細情報
Microsoft Baseline Security Analyzer の詳細情報については以下を参照してください。
https://www.microsoft.com/japan/technet/security/tools/mbsahome.mspx
https://support.microsoft.com/default.aspx?scid=KB;EN-US;320454
Microsoft Baseline Security Analyzer の技術関連ホワイト ペーパーを閲覧するには以下を参照してください。
https://technet.microsoft.com/library/dd277467.aspx
Microsoft Baseline Security Analyzer は次の URL からダウンロードできます。
https://download.microsoft.com/download/c/8/2/c823a585-f5dc-4947-9d92-72652bcd2576/MBSASetup-JA.msi
グループ ポリシーで使用する .zap ファイルの作成方法の詳細は次を参照してください。
https://support.microsoft.com/default.aspx?scid=kb;JA;231747
Qfecheck.exe についての情報とダウンロードは次を参照してください。
https://support.microsoft.com/default.aspx?scid=kb;JA;282784
Hotfix.exe についての情報とダウンロードは次を参照してください。
https://support.microsoft.com/default.aspx?scid=kb;JA;184305
Qchain についての情報と関連する実行ファイルのダウンロードは次を参照してください。
https://support.microsoft.com/default.aspx?scid=kb;JA;296861
マイクロソフトの深刻度評価システムについての詳細は次を参照してください。
https://www.microsoft.com/japan/technet/security/bulletin/rating.mspx
マイクロソフト セキュリティ情報の購読方法については次を参照してください。
https://www.microsoft.com/japan/technet/security/bulletin/notify.mspx
Microsoft Operations Framework (MOF) についての詳細は次を参照してください。
https://technet.microsoft.com/library/cc506049.aspx
サービス パック、修正プログラム、およびセキュリティ更新プログラムを適用する際のベスト プラクティス の記事は次を参照してください。
https://msdn.microsoft.com/library/cc447626.aspx
関連情報
TechNet のセキュリティ センター
https://www.microsoft.com/japan/technet/security/
Microsoft Security Best Practices (英語)
https://technet.microsoft.com/library/cc750076.aspx
.zap ファイルを用いて非 MSI プログラムを公開する方法 (231747)
https://support.microsoft.com/default.aspx?scid=kb;JA;231747
目次
第 8 章 ‐ 修正プログラムの管理
付録 E ‐ セキュリティで保護された LDAP および SMTP 複製を行うためのドメイン コントローラでのデジタル証明書の構成