セキュリティ更新プログラムの展開に関する頭痛の種

  • [アーティクル]

System Management Service と Windows Server Update Services の違い

公開日: 2005年6月22日

マイクロソフト 株式会社 セキュリティ レスポンスチーム 山崎 雅樹

最初に、Part 1、2 で紹介した Microsoft Update (MU) と Windows Server Update Services (WSUS) が無事に公開されたことをご案内させていただきます。

  • Microsoft Update

  • Windows Server Update Services

早速利用している方が多くいらっしゃるのではないでしょうか。Windows Update や Software Update Service から Microsoft Update、および Windows Server Update Services に変更したことにより、高度な パッチ マネジメントを行う上での基盤が整い管理者の悩みが幾分減少できたのではと思います。

今回の Part 3 では、中規模、大規模環境で更新プログラムの管理ソリューションに利用される Microsoft System Management Server (SMS) について紹介し、前回紹介した WSUS との違いを中心に説明します。このコラムによって管理者が適切なセキュリティ更新プログラムの管理ソリューションを選択する際の手助けになれば幸いです。

System Management Server 2003 とは

System Management Server 2003 (以下SMS 2003) は、企業の情報資産やセキュリティ構成を管理するための統合管理製品です。ネットワーク上に点在するコンピュータのハードウェアやソフトウェアの実態を把握することができ、社内の情報資産を適切に分配することができます。また、セキュリティ構成機能として、アプリケーションの脆弱性を修正するために適切な更新プログラムをユーザー環境に適用することが出来ます。その他にも SMS には多彩な機能がありますが、今回は SMS のセキュリティ構成機能に焦点を絞って説明します。

まず、SMS がセキュリティ更新プログラムを展開するための代表的な機能を紹介します。

  • 展開されているコンピュータの台数、その場所、役割およびそれらのコンピュータにインストールされているソフトウェア アプリケーションと修正プログラムを判断するためのインベントリ機能。

  • 組織が通常の勤務時間外、またはビジネス運用への影響が最も少ない時間帯に、セキュリティ更新プログラム、および 修正プログラムを展開するスケジュールを設定できるスケジューリング機能。

  • 管理者がインストールの進捗状況を監視できるステータス レポート機能。

  • システム インベントリに基づいて、Microsoft Active Directory サービス、または手動で作成したグループで対象のコンピュータを示すターゲッティング機能。

  • ネットワーク経由で、簡単かつ効果的にファイルを移動できるようにするエンタープライズ レプリケーション。

  • Microsoft Windows 2000、Windows Server 2003、および Windows XP 以外のオペレーティング システムのサポート。

以上のように SMS を利用することにより多種多様な環境ハードウェアやアプリケーション環境、および、複雑なネットワーク環境でも、管理者が効率よくセキュリティ更新プログラムを展開できることが可能になります。

WSUS SMS の機能の違い

上記の SMS の機能は WSUS でも実装している機能も多くあります。では SMS とどのように異なるのか見てみたいと思います。

機能 Windows Server Update Services System Management Server 2003
対象 クライアント OS Windows 2000
Windows XP Pro
Windows Server 2003		 Windows 98/98SE
Windows NT 4.0
Windows 2000
Windows XP Pro
Windows Server 2003
クライアントの更新プログラムの入手方法 プル プッシュ
アップデート対象のターゲッティング 基本 高度
ネットワーク帯域の最適化 基本 高度
更新プログラムのインストール制御、
スケジューリング		 基本 高度
インベントリ管理 基本 高度
適用状況レポート 基本 高度
この表に記載しているとおり、SMS は WSUS に比べてより高度な機能が提供されていることが分かると思います。ここからは、代表的な機能について、具体的にどのように違うのか紹介します。 - **柔軟な配布ターゲティング** SMS では、事前に収集したインベントリを利用したターゲッティングが可能です。例えば、特定の OS やサービスパックだけではなく、更に特定のサービスが導入されている、ファイアウォールが有効ではない、または、特定のアプリケーションがインストールされているコンピュータといった、より柔軟なターゲッティングが可能になります。その結果、管理者は不用な更新プログラムを展開する必要が無く効率的な更新プログラムの展開が可能になります。 - **ソフトウェア更新の配布ウィザード** WSUS ではソフトウェアの展開時のクライアント側の動作を GPO を利用して柔軟に制御できるようになりましたが、SMS ではさらに高度な 「ソフトウェア更新のウィザード」 機能によって柔軟な対応が可能です。基本的に WSUS では事前にクライアント側の設定を行い、更新プログラムによってクライアントの動作を変更することは困難です。しかし、SMS では配布する更新プログラムごとに、優先度を与えることや、強制的にインストールさせることなど更新プログラムの重要度によって管理者が自由に設定することが出来ます。 また、WSUS ではクライアント側が更新プログラムをプルしますが、SMS ではクライアントに対して更新プログラムをプッシュします。そのため、短時間で更新プログラムを展開することができ、インシデント発生時などで緊急で更新プログラムの展開が必要になった場合に有効です。 **ローミングのサポート** ノート PC を携帯して営業拠点などで作業をする際のように、通常のドメインとは異なるロケーションに一時的に配置されたことがあると思います。このようなコンピュータの場合でも、ローミング機能により、最も近い配布ポイントからソフトウェアを自動ダウンロードすることができます。これにより、出張中や外出中のモバイルユーザーに対しても効率良くソフトウェアを配布することができます。 **適用状況のレポート** パッチ Management を行ううえで提供状況を確認することは大切です。SMS は WSUS と比べて更に高度なレポーティング機能をサポートしております。 例えば WSUS では、そのサーバーを利用するクライアントのレポート状況を確認することができますが、拠点ごとの WSUS のレポートを集約してレポートすることは困難です。しかし、SMS ではそれぞれのサイトごとのレポートを集約して確認することができます。また、WSUS のように管理画面を利用して表示されるのではなく、Web を利用して誰でも自由にカスタマイズしたレポートを確認することができ、企業内の更新プログラムの適用状況を分析する上で有効な情報を確認することが出来ます。 **まとめ** 今回は SMS の代表的な機能に焦点をしぼり、SUS にくらべて SMS の優位性について説明しました。SMS はその他にも企業の情報資産を管理するための様々な機能があり、セキュリティ対策や、日常的に発生するソフトウェアの導入作業の効率化による管理者の生産性向上と運用コストの削減が望めます。 今回で 3 回にわたった「セキュリティ更新プログラムの展開に関する頭痛の種」シリーズは終了です。マイクロソフトでは今後も管理者の皆様がセキュリティ更新プログラムの適用を効率的に行えるように様々な製品やツールを提供し、適用する際の負担を少しでも払拭できるように邁進します。 [![](images/Dd362813.btn_reg_today(ja-jp,TechNet.10).jpg)](https://technet.microsoft.com/ja-jp/library/d2607610-3137-420b-9bbf-2552bec68922(v=TechNet.10)) この記事は、マイクロソフト セキュリティ ニュースレターで配信しました。 [](#mainsection)[ページのトップへ](#mainsection) **関連情報** - [Microsoft Systems Management Server Web サイト](https://www.microsoft.com/japan/smserver/default.mspx) [](#mainsection)[ページのトップへ](#mainsection)