[HOWTO] 修正プログラム管理を実装する方法
トピック
 | 目的 |
| 適用対象 |
| モジュールの使用方法 |
| 要約 |
| 必要な知識 |
| はじめに |
| 検出 |
| 評価 |
| 取得 |
| テスト |
| 展開 |
| 維持 |
| 追加事項 |
| その他のリソース |
目的
| • | このモジュールの目的は次のとおりです。 |
| • | 修正プログラム管理プロセス (検出、評価、取得、テスト、実装、および維持) について学習する。 |
| • | Microsoft Baseline Security Analyzer (MBSA)、Microsoft Software Update Services (SUS)、および Microsoft Systems Management Server (SMS) の修正プログラム管理サイクルにおける役割を理解する。 |
| • | 組織内で修正プログラム管理ソリューションを展開する。 |
| • | マイクロソフトがリリースするセキュリティ情報のセキュリティ警告を受信するためにどこに登録するかを理解する。 |
| • | 修正プログラム管理プロセスを自動化する。 |
適用対象
このモジュールは、次の製品とテクノロジに適用されます。
| • | Microsoft Windows® 2000 Server™ |
| • | Microsoft Baseline Security Analyzer (MBSA) |
| • | Microsoft Software Update Services (SUS) |
| • | Microsoft Systems Management Server (SMS) |
モジュールの使用方法
このモジュールを使用して、次のプロセスを含む修正プログラム管理プロセスを開発および自動化できます。
| • | 検出: ツールを使用してシステムをスキャンし、不足しているセキュリティ修正プログラムを確認します。検出は自動的に行われ、修正プログラム管理プロセスが実行されます。 |
| • | 評価: 必要な更新がインストールされない場合、修正プログラムにより修正される問題の深刻度、および更新のインストールに関する決定に影響を及ぼす脆弱性を軽減する要因を判断します。問題の重大性と脆弱性を軽減する要因の平衡をとることにより、脆弱性が現在の環境における脅威かどうかを判断できます。 |
| • | 取得: 脆弱性が既存のセキュリティ対策により対処されていない場合、修正プログラムをダウンロードしてテストします。 |
| • | テスト: テスト システムに対して修正プログラムをインストールして、運用環境に対する更新の結果、生じる問題を検証します。 |
| • | 展開: 運用コンピュータに修正プログラムを展開します。アプリケーションが影響を受けないことを確認します。必要に応じて、ロールバックまたはバックアップ対応計画を実行します。 |
| • | 維持: 報告された脆弱性に関して警告する通知サービスに登録し、修正プログラムの管理プロセスを再び開始します。 |
手順を開始する前に、このモジュールの「はじめに」で説明されているツールが必要となります。
要約
修正プログラム管理は、最新のセキュリティ更新プログラムとサービスパックを使用してサーバーを更新するプロセスです。
このモジュールでは、修正プログラム管理の方法とフレームワークを示し、1 つまたは複数のサーバーを最新の状態に保つ方法を説明します。マイクロソフトからダウンロード可能なツール以外に、別のソフトウェアは必要ありません。運用およびセキュリティ ポリシーに、修正プログラム管理プロセスを採用する必要があります。このモジュールでは適切な修正プログラム管理システムを構築するために必要なプロセスを定義します。修正プログラム管理プロセスは、このモジュールのガイドを使用することにより自動化できます。
必要な知識
この [HOWTO] を使用する前に、次の問題と考慮すべき事項についての事前知識が必要です。
修正プログラム管理のプロセス
修正プログラム管理は絶えず実行する必要のあるプロセスであり、継続する必要があります。ソフトウェアの脆弱性についての現実的な問題は、今日修正プログラムを適用しても、明日新しい脆弱性に対処する必要があるということです。
修正プログラムの管理プロセスを検討し自動化するには、次の各項目が含まれます。
| • | 検出: ツールを使用してシステムをスキャンし、不足しているセキュリティ修正プログラムを確認します。検出は自動的に行われ、修正プログラム管理プロセスが実行されます。 |
| • | 評価: 必要な更新がインストールされない場合、修正プログラムにより修正される問題の深刻度、および更新のインストールに関する決定に影響を及ぼす脆弱性を軽減する要因を判断します。問題の重大性と脆弱性を軽減する要因の平衡をとることにより、脆弱性が現在の環境における脅威かどうかを判断できます。 |
| • | 取得: 脆弱性が既存のセキュリティ対策により対処されていない場合、修正プログラムをダウンロードしてテストします。 |
| • | テスト: テスト システムに対して修正プログラムをインストールして、運用環境に対する更新の結果生じる問題を検証します。 |
| • | 展開: アプリケーションが影響を受けないことを確認します。必要に応じて、ロールバックまたはバックアップ復元計画を採用します。 |
| • | 維持: 報告された脆弱性に対する警告の通知を登録し、修正プログラムの管理プロセスを再び開始します。 |
修正プログラム管理における MBSA の役割
Microsoft Baseline Security Analyzer (MBSA) は、2 つの目的のために設計されたツールです。第 1 に、脆弱な構成かどうかを確認するためにコンピュータをスキャンします。第 2 に、マイクロソフトからリリースされたセキュリティの更新の可用性を検出します。
この [HOWTO] では、脆弱な構成をスキャンすることなく MBSA を使用します。グラフィカル ユーザー インターフェイス (GUI) を使用する場合、図 1 に示されるとおりのオプションのチェックを外し、[セキュリティの更新をチェックする] のみを選択します。
図 1
MBSA スキャン オプション
コマンド ライン インターフェイス (Mbsacli.exe) を使用する場合、次のコマンドを使用して不足しているセキュリティ更新のみをスキャンすることができます。
Mbsacli.exe /n OS+IIS+SQL+PASSWORD
オプション /n は省略するチェックを指定します。OS+IIS+SQL+PASSWORD を選択すると、脆弱性および脆弱なパスワードのチェックを省略します。
セキュリティ構成のスキャンを含む、MBSA の使用の詳細については、このガイドの「[HOWTO] Microsoft Baseline Security Analyzer を使用する方法」を参照してください。
バックアップおよび修正プログラム管理
運用サーバーに更新を展開する前に、バックアップを実行する必要があります。定期的にバックアップの処理をするだけでなくバックアップ自体もテストします。復元中にバックアップ処理が不完全であることが発見された場合は、大打撃になります。
はじめに
ここでは、この [HOWTO] の手順を調べる前に必要な、ダウンロードおよび文書についての情報が提供されます。
必要なツール
この [HOWTO] の手順を実行するためには次のツールが必要です。
| • | Microsoft Baseline Security Analyzer (MBSA) |
| • | 最新の Mssecure.cab |
| • | Microsoft Software Update Service (SUS) |
検出
MBSA を使用して、Microsoft Windows NT® 4.0、Windows 2000、および Windows XP 用の不足しているセキュリティ修正プログラムを検出します。MBSA は、GUI とコマンド ラインの 2 つのモードで使用できます。両方のモードを、1 つまたは複数のコンピュータをスキャンするために使用できます。コマンド ラインはスケジュールに沿って実行するためにスクリプトで記述することができます。
注: MBSA を実行するために使用するログイン アカウントは、対象のコンピュータの Administrators グループのメンバである必要があります。適切なアクセス特権を確認するには、net use \\computername\c$ コマンドを使用します。ここで computername は不足している修正プログラムをスキャンするマシンのネットワーク名です。管理共有のアクセスについての問題がある場合は解決してから、MBSA を使用してリモート コンピュータをスキャンします。
| • | MBSA グラフィカル インターフェイスを使用して、不足している更新を手動で検出するには
|
| • | MBSA コマンド ライン インターフェイスを使用して、不足している更新を検出するには
|
| • | 生成されたレポートを分析するには
|
前に説明したように、コマンド ライン方式の長所は、実行をスクリプト化しスケジュール化できることです。このスケジュールは、システムが有害なネットワークに公開されているかどうか、またセキュリティ ポリシーにより決定されます。
MBSA 出力の説明
次の例は MBSA version 1.1 を使用した例です。
図 2
スキャンしたマシンの詳細をレポートしたスクリーンショット
図 2 の MBSA スクリーンショットの先頭部分は理解できると思います。
赤い×印は、緊急な問題が見つかったことを示しています。不足している修正プログラムのリストを表示するには、関連する "結果の詳細情報" リンクをクリックします。
セキュリティ更新のスキャンの結果は、次の 2 つの問題を示している可能性があります。
| • | 修正プログラムの不足 |
| • | 修正プログラム確認不可 |
どちらのタイプにも、関連する修正プログラムのリンク、およびダウンロードの説明と共に、修正プログラムの詳細について説明するセキュリティ情報ページがあります。
不足している修正プログラムは赤い×印により示されます。図 3 に例を示します。
図 3
不足している修正プログラムの指摘
修正プログラムが確認できない場合、青いアスタリスクにより示されます。これはセキュリティ情報により提供されるファイルより新しいファイルがシステムにある場合に発生します。これは共通ファイルを更新する製品の新しいバージョンをインストールした場合に発生することがあります。
図 4
確認できない修正プログラムの指摘
確認できない更新の場合、セキュリティ情報の情報を確認し手順に従います。これには修正プログラムのインストールまたは構成変更が含まれる場合があります。MBSA により検証できない修正プログラムの詳細については、マイクロソフト サポート技術情報の 306460「Microsoft Baseline Security Analyzer (MBSA) で一部の更新について注意が表示される」を参照してください。
評価
MBSA により識別された不足している修正プログラムのリストを使用して、脆弱性により多大なリスクが生じるかどうかを判断する必要があります。マイクロソフトのセキュリティ情報が提供する技術的な説明は、脆弱性によってシステムに影響を与える脅威のレベルを判断するのに役立ちます。
攻撃による危険を見極めるのに役立つセキュリティ情報の詳細について次に示します。
| • | 攻撃者が情報で扱われた脆弱性を悪用するために必要な要件の技術的な詳細 - 攻撃に物理的なアクセスが必要、またはユーザーが悪意のある電子メール添付ファイルを開く必要がある、などという例です。 |
| • | 脆弱性による脅威の程度を判断するために、セキュリティ ポリシーと比較する必要がある、脆弱性を軽減する要因 - セキュリティ ポリシーが修正プログラムを適用する必要を軽減する場合があります。例えば、サーバーでインデックス サービスを実行していない場合、そのサービスの脆弱性に対応する修正プログラムをインストールする必要はありません。 |
| • | 優先度を決定する場合に役立つ深刻度 - 深刻度評価は脆弱な可能性があるマシンの役割、および脆弱性による脅威の程度を含む複数の要因に基づいています。 セキュリティ情報により使用される深刻度評価システムの詳細については、TechNet の記事「Microsoft Security Response Center マイクロソフト セキュリティ情報の深刻度評価システム」を参照してください。http://www.microsoft.com/japan/technet/security/bulletin/rating.mspx 注: 影響を受ける製品を使用する場合、"緊急" または "重要" と評価された脆弱性に対応する修正プログラムを必ず適用する必要があります。"緊急" と評価された修正プログラムはできるだけ早くに適用する必要があります。 |
取得
修正プログラムを入手するには、次に示す数種類の方法があります。
| • | MBSA レポートの詳細を使用する - MBSA は、修正プログラムまたは修正プログラムの入手についての手順を含むセキュリティ情報にリンクしています。リンクを使用して修正プログラムをダウンロードし、ローカル ネットワークに保存できます。その後複数のコンピュータに修正プログラムを適用できます。 |
| • | Windows Update - インストールする更新のリストが表示されますので、修正プログラムを必要とするサーバーの Internet Explorer を使用して http://www.update.microsoft.com/microsoftupdate/v6/vistadefault.aspx?ln=ja にアクセスします。次にインストールを行う必要な更新を選択します。更新はサイトからインストールされます。他のコンピュータにインストールするためにダウンロードすることはできません。Windows Update を使用するには、サーバーに ActiveX コントロールがインストールされている必要があります (サイトに訪れた際に、ActiveX コントロールがインストールされていない場合はメッセージが表示されます)。この方法は、スタンドアロン ワークステーションに対して、またはサーバー数が少ない場合に有効です。 |
| • | 修正プログラム (Hotfix) およびセキュリティ情報の検索 - MBSA には、対応するセキュリティ情報が書かれている マイクロソフト サポート技術情報の ID が含まれています。修正プログラムの技術情報の ID およびセキュリティ情報検索サイトを使用して、一致するセキュリティ情報を見つけることができます。検索ページは、http://www.microsoft.com/japan/technet/security/current.aspx です。修正プログラムを取得するための詳細について記載されています。 |
テスト
評価の結果により、修正プログラムをインストールする必要があると判断した場合、システムに修正プログラムをテストし、問題を引き起こすような変更が発生しないこと、または問題を引き起こすような変更が予期される場合に変更に対処する方法を確認します。
セキュリティ修正プログラムをテストする方法
セキュリティ修正プログラムをシステムにインストールするテストに使用する方法を次に示します。
| • | 運用サーバーの構成およびシナリオと同じテスト用のミラー サーバーに対してセキュリティ修正プログラムをテストする - この方法により、サービスを中断することなく、オフラインでインストールをテストでき、また問題を引き起こすような変更が発生した場合でも、同様にサービスを中断することなくテストを回避できます。 |
| • | 更新を完全に展開する前に、いくつかの選択した運用システムで修正プログラムをテストする - 運用環境に一致するテスト ネットワークがない場合は、この方法がセキュリティ修正プログラムを導入する最も安全な方法です。この方法を採用する場合、バックアップを実行してから更新のインストールを実行する必要があります。 |
修正プログラムがインストールされたことを確認する
運用サーバーに修正プログラムを展開する前に、テストした修正プログラムがテスト サーバーに対して適切な変更を行ったことを確認します。各セキュリティ情報には、修正プログラムがインストールされたことを確認するための必要な情報が含まれています。各情報に、修正プログラムに関する追加情報があり、修正プログラムのインストールの確認に関するエントリがあります。ここにはレジストリ値、ファイル バージョン、または修正プログラムがインストールされたことを確認するために使用できる同様の構成変更が含まれています。
セキュリティ修正プログラムをアンインストールする
修正プログラムをアンインストールする必要がある場合、[コントロール パネル] の [アプリケーションの追加と削除] プログラムを使用します。アンインストール ルーチンが修正プログラムのオプションになく、修正プログラムのインストールにより問題を引き起こすような変更が発生した場合、バックアップからシステムを復元する必要があります。テスト プロセスが修正プログラムのアンインストール ルーチンにも対応していることを確認してください。
セキュリティ情報は、修正プログラムに関する追加情報にアンインストール ルーチンの可用性の一覧を表示します。
展開
修正プログラムをインストールしても安全という判断をした場合、安全かつ効果的な方法で運用サーバーに更新を展開する必要があります。企業全体で修正プログラムを展開するためのオプションが多数存在します。たとえば、以下が挙げられます。
| • | Software Update Services (SUS) を使用する |
| • | Systems Management Server (SMS) を使用する |
Software Update Services (SUS) を使用する
SUS には、各コンピュータに出向いたり、スクリプトを書く必要なく、ネットワーク全体のコンピュータに対して、重要な更新とセキュリティ ロールアップを自動的に更新する方法が備えられています。SUS の使用方法の詳細については、「Software Update Services, Part 1」(英語) を参照してください。 http://www.microsoft.com/technet/security/tools/sadsus1.mspx (英語)
Systems Management Server (SMS) を使用する
SMS は、Microsoft Windows server および workstation オペレーティング システムの構成および管理の変更を配信するための企業レベルの管理ツールです。更新を展開するために SMS を使用する方法の詳細については、TechNet の記事、「Microsoft Systems Management Server を使用した修正プログラム管理 - 運用ガイド」を参照してください。 http://www.microsoft.com/japan/technet/itsolutions/msm/swdist/pmsms/pmsmsog.asp
維持
最新の修正プログラムを使用してサーバーを最新の状態に保つことは、修正プログラム管理サイクルの一部です。修正プログラム管理サイクルは、セキュリティの脆弱性が発見されたとき、および不足しているセキュリティ修正プログラムが使用可能になるときを知ることから再度始まります。
最新のセキュリティ修正プログラムを使用してサーバーを最新の状態に保つことには、このサイクル全体が関係しています。次のようにしてこのサイクルを再度開始します。
| • | セキュリティの評価を実行する |
| • | セキュリティ警告サービスを使用する |
セキュリティの評価を実行する
MBSA を使用してセキュリティの脆弱性を定期的に確認し、不足している修正プログラムと更新を特定します。 MBSA を毎日実行するようにスケジュールし、必要であれば対策を講じることができるように結果を分析します。 MBSA を自動化する詳細については、このガイドの「[HOWTO] Microsoft Baseline Security Analyzer を使用する方法」を参照してください。
セキュリティ警告サービスを使用する
マイクロソフトによってリリースされるセキュリティ情報の警告を受信するために登録します。次のサービスを使用します。
| • | マイクロソフト セキュリティ警告サービス日本語版 |
| • | TechNet セキュリティ Web サイト |
追加事項
既存のサーバー上で新しいサービスをオンラインにする場合、MBSA を実行してサービスに対する修正プログラムが適用されたことを確認してから、サーバーおよびサービスを使用してネットワークをリスンします。例えば、サーバーに接続しているネットワーク ケーブルを外す、または新しく追加されたサービス ポートをブロックするなどのネットワーク ベースの規則を適用します。
その他のリソース
関連する情報については、次のリソースを参照してください。
| • | Software Update Services の詳細については、次を参照してください。
| ||||||||
| • | TechNet の記事「Managing Security Hotfixes」(英語) | ||||||||
| • | Enterprise Software Update Management using Systems Management Server 2.0 Software Update Services Feature Pack (英語) | ||||||||
| • | TechNet の記事「サービス パック、修正プログラム、およびセキュリティ修正プログラムを適用する際のベスト プラクティス」 |