トピックモジュールの内容このモジュールでは、4 段階のパッチ管理プロセスの第 2 段階 "識別" について説明します。識別段階では、新しいソフトウェア更新プログラム、その更新プログラムが運用環境に対して関連性があるかどうか、また通常のものであるか緊急のものであるかについて、信頼性を保って探索することが重要になります。 このモジュールの目的は、パッチ管理プロセスの識別段階の原則を説明し、Microsoft® Software Update Services (SUS) および Microsoft Systems Management Server (SMS) を使用して識別を実行できるようにするタスクの種類を紹介することです。 このモジュールを読んだ後で、次の手順に必須のタスクを計画できるようになります。 | • | 新しいソフトウェア更新プログラムを探索する。 | | • | 新しい更新プログラムが環境に必須かどうかを判断する。 | | • | 更新プログラムについて、通常の展開でよいか、緊急に展開が必要かを判断する。 |
識別段階を完了しないと、ソフトウェアの利用可能な更新プログラム、必要な更新プログラム、ウイルスに感染していないチェックおよびテスト済み更新プログラムの取得方法、更新プログラムをすぐに展開する必要があるかまたは予定されたスケジュール済みロールアウトの一部としての展開でよいかということを把握できません。 目的このモジュールの目的 | • | 新しいソフトウェア更新プログラムを探索する。 | | • | ソフトウェア更新プログラムの関連性を判断する。 | | • | 安全で信頼できるソフトウェア更新プログラムのソース ファイルを取得する。 | | • | ソフトウェア更新プログラムを通常の変更と緊急の変更のいずれかに分類する。 |
適用対象このモジュールは、次の製品およびテクノロジに適用されます。 | • | すべての Microsoft 製品およびテクノロジ |
モジュールの使用方法このモジュールでは、4 段階のパッチ管理プロセスの識別段階について説明します。Microsoft Software Update Services (SUS) および Microsoft Systems Management Server (SMS) を使用して、識別を実行するのに必要な基本タスクについて説明します。詳しい手順については、下記の [HOWTO] モジュールで提供されています。 このモジュールから最大限の成果を得るには、以下を参照してください。 | • | 「パッチ管理のプロセス」を参照してください。このモジュールでは、4 段階パッチ管理プロセスの全段階の概要について説明しています。また、Microsoft Windows® オペレーティング システムベースの環境のパッチ管理をサポートするために利用可能なツールの導入情報も提供しています。 | | • | 付随する [HOWTO] モジュールを使用してください。[HOWTO] モジュールには、次のモジュールがあります。 |
概要識別段階は、図 1 で示されるパッチ管理プロセスの第 2 段階です。  図 1パッチ管理プロセス 識別段階の目標 | • | 信頼できる方法で新しいソフトウェア更新プログラムを探索する。 | | • | ソフトウェア更新プログラムが運用環境に関連があるかどうかを判断する。 | | • | ソフトウェア更新プログラムのソース ファイルを取得して、その安全性と正しくインストールされることを確認する。 | | • | ソフトウェア更新プログラムが通常の変更と緊急の変更のどちらと見なすかを判断し、展開するための変更の要求 (RFC) を提出する。RFC の提出は、次のパッチ管理段階である、評価と計画のきっかけとなります。 |
このモジュールの残りの部分では、それらの目標について詳細に説明します。緊急時に目標を迅速に完了するための方法についても説明します。 新しいソフトウェア更新プログラムを探索するソフトウェア更新プログラムの識別では、信頼できる安全な方法で更新プログラムを探索することから始まります。探索には次の 2 つのメイン コンポーネントが含まれます。 | • | 新しいソフトウェア更新プログラムの通知方法 | | • | ソースと通知の信頼性を判断する方法 |
新しいソフトウェア更新プログラムの通知方法新しいソフトウェア更新プログラムの探索は、通知から始まります。通知は、スキャンおよびレポート機能を提供する信頼可能なソースの購読、またはその他の信頼できる通知メカニズムによって実行されます。次の通知メカニズムが最も一般的に使用されます。 | • | 電子メール通知 | | • | 脆弱性スキャン ツール | | • | SUS Server 管理ページ | | • | SMS ソフトウェア更新プログラム管理機能 |
電子メール通知電子メールによる通知は、最も一般的な形式の更新プログラム通知です。電子メール通知を受けるためのオプションの 1 つは、マイクロソフト プロダクト セキュリティ警告サービス http://www.microsoft.com/japan/technet/security/bulletin/notify.mspx の購読を申し込むことです。中間製品リリースまたはソフトウェア更新プログラムの場合、通常は、新しいソフトウェア更新プログラムが Microsoft Web サイトに用意されていることを示す電子メール メッセージがユーザーに送信されます。 セキュリティの更新を管理者に通知する電子メール メッセージの一例を図 2 に示します。  図 2 新しいソフトウェア更新プログラムを管理者に通知する電子メール メッセージの例
拡大表示する ソースと通知の信頼性を判断する方法電子メール通知は慎重に扱うことが重要です。次のガイドラインは、それぞれの通知を確認して、それらが利用可能な最新のセキュリティ情報であることを検証するときに役立ちます。 注: Microsoft からであると偽る悪質メールがいくつか存在します。Microsoft セキュリティ情報を受け取るときは、マイクロソフト セキュリティ情報一覧 Web サイト http://www.microsoft.com/japan/technet/security/current.asp を参照して、そのセキュリティ情報と、ソフトウェア更新プログラムに関するすべてのハイパーリンクを確認してください。このような悪質電子メールの詳細については、「Information on Bogus Microsoft Security Bulletin E-mails」 (英語)http://www.microsoft.com/technet/security/news/patch_hoax.mspx を参照してください。 SUS を使用すると、電子メール メッセージで新しい更新プログラムを通知する SUS 更新プログラム警告サービスにサイン アップできます。これらの更新プログラムを識別するには、更新通知電子メールを受信するときに、必ず SUS サーバーとパブリック Windows Update サーバー間で同期を実行する必要があります。この同期を実行するには、SUS Server 管理ページで、[今すぐ同期] オプションを使用します。識別段階で SUS を使用する方法の詳細については、「[HOWTO] SUS を使用したパッチ管理の実行」を参照してください。 SMS を使用する場合は、新しい電子メール通知を受信するごとに、更新プログラムが運用環境内のシステムに適用可能であることを SMS 2003 が検出できるかどうか判断する必要があります。 | • | Microsoft Baseline Security Analyzer (MBSA) によってサポートされていないか検出できないソフトウェア更新プログラムでは、SMS 2003 ハードウェア インベントリとソフトウェア インベントリ クライアント エージェントを使用して、どのコンピュータにソフトウェア更新プログラムが必要か判断します。 | | • | 更新プログラムを MBSA で検出できる場合は、SMS 2003 でソフトウェアの更新管理ツールを使用して、更新が必須なコンピュータを識別できます。 | | • | 更新プログラムが Microsoft Office アプリケーション向けのもので、しかも更新プログラムが Microsoft Office 更新インベントリ ツールによって提供される更新プログラムの一覧に載っている場合は、ソフトウェアの更新管理ツールを使用して更新が必須なコンピュータを識別できます。 |
識別段階で SMS を使用する方法の詳細については、「[HOWTO] SMS を使用したパッチ管理の実行」を参照してください。 脆弱性スキャン ツール 既にこのモジュールで説明したように、管理者は MBSA を使用して、ローカル コンピュータとリモート コンピュータにインストール済みおよびインストールされていないセキュリティ更新プログラムをスキャンし、空白の管理者パスワードの存在など、コンピュータが一般的なセキュリティの脆弱性にさらされているかどうかを判断できます。MBSA の使用法の詳細については、「[HOWTO] SUS を使用したパッチ管理の実行」を参照してください。 SMS 2003 に用意されているソフトウェアの更新管理機能のコンポーネントを使用して、環境内でのソフトウェア更新プログラムのインストール状況についてスキャンしたりレポートを作成したりすることもできます。SMS の詳細については、「[HOWTO] SMS を使用したパッチ管理の実行」を参照してください。 ソフトウェア更新プログラムの適合性を判断する多くのソフトウェア更新プログラム ファイルが、情報技術 (IT) 運用コミュニティに定期的にリリースされています。さまざまなソースからリリースされるこれらの更新プログラム ファイルは、セキュリティ侵害を招く可能性のある問題を処理するなど、多くの理由によって作成されています。すべてのソフトウェア更新プログラムは、組織の IT インフラストラクチャに関連があるかどうか完全にチェックする必要があります。このセクションで概説した通知の審査プロセスで、無関連なソフトウェア更新プログラムの大半は取り除かれますが、廃棄できる更新プログラムがまだある可能性があります。 配信されたソフトウェア更新プログラムは、関連のあるものであるかどうかを 1 つずつ確認する必要があります。通知に複数のソフトウェア更新プログラムに関する情報が含まれているときは、各ソフトウェア更新プログラムについて、組織に関連のあるものであるかどうかをそれぞれ確認する必要があります。 関連があるかどうかをチェックする最初の手順では、ソフトウェア更新プログラムが、運用環境内のオペレーティング システムまたはアプリケーション用に設計されているかどうかを判断します。 ソフトウェア更新プログラムが運用環境内のアプリケーションなどに適用されることを確認した後は、更新プログラムが適用されるアプリケーションまたはシステムに、ソフトウェア更新プログラムで対処できる脆弱性があるかどうかを判断します。たとえば、ソフトウェア更新プログラムは、Active Server Pages (ASP) を有効にして Microsoft Internet Information Services (IIS) を実行するすべての Windows Server オペレーティング システム用に設計されている場合があります。環境内には複数の Windows Server オペレーティング システムが含まれている可能性がありますが、組織内の IIS サーバー上で ASP が有効でない場合は、セキュリティ更新プログラムは無関連となります。 必ずしも、環境内のシステムなどに適用されるすべてのセキュリティ更新プログラムに関連があるとは限りません。既存のセキュリティ更新プログラムを認識して正しく理解することは重要ですが、組織に関連があるセキュリティ更新プログラムのみを展開する必要があります。この方法では、環境を最新で安全な状態に保つのに必要な作業を最小限に抑えることができます。 ソフトウェア更新プログラムの情報が、無関係なものと分類されても、問題管理担当者に連絡し、このソフトウェア更新プログラムが存在することを記録しておくことは重要です。これにより、将来、このソフトウェア更新プログラムが組織の環境に関連のあるものになり、必要になった場合、最初の発行元からこの情報を取得できます。 ソフトウェア更新プログラムが IT インフラストラクチャに適合することを判断するには、次のいくつかの審査方法を使用できます。 | • | セキュリティ情報とサポート技術情報 (KB) の文書を参照する。 | | • | 個々のソフトウェア更新プログラムを確認する。 | | • | SMS 管理コンソールを使用する。 | | • | SMS 組み込みレポートを使用する。 |
セキュリティ情報と KB 文書を参照するMicrosoft Web サイトでは、セキュリティに関する情報が複数のセクションに分かれており、説明している脆弱性の環境への深刻度を判断するのに役立ちます。セキュリティ情報のすべての情報をレビューする必要がありますが、初めてセキュリティ情報を確認するときは、表 1 の次のセクションに特に注意してください。 表 1: セキュリティ情報 ‐ 主要な情報 要約 | セキュリティ情報の「概要」を簡単にレビューしてください。「最大深刻度」、「脆弱性の影響」、「影響を受けるソフトウェア」および「推奨する対応策」の項目には、環境が脆弱性にどれだけ影響されやすいかを判断するのに役立つ情報が含まれています。 | 技術的な説明 | 「技術的な説明」では、脆弱性について技術的な面から詳細に説明されています。脆弱性を軽減する要因、および影響を受けるすべての製品に関する脆弱性の深刻度も概説されています。 | 回避策 | 「回避策」では、環境に更新プログラムが適用されるまでの脅威を効果的に軽減できるよう Microsoft がテストしてきた回避策に関する情報が提供されています。このセクションは、リスク評価の一部として読む必要があります。 | よく寄せられる質問 | 「よく寄せられる質問」では、そのような脆弱性または解決策に固有の一般的な質問に対する回答が提供されています。「概要」を読んだ後で参照するのに適しています。 | セキュリティ更新プログラム情報 | このセクションでは、前提条件、プラットフォームに固有のインストール情報、展開情報、再起動情報、削除情報、ファイル情報 (ファイル名、サイズ、バージョン、ターゲット フォルダなど)、更新プログラム確認手順などの項目が提供されています。 | サポート技術情報の文書 | セキュリティ情報のタイトルに記載されている KB 文書を参照してください。KB 文書には、脆弱性に関する付加情報、およびセキュリティ情報により規定される更新プログラムが提供されています。セキュリティ情報のタイトルの右側にあるかっこ内の数字は、セキュリティ情報に対応する KB 文書を示しています。この番号を使って、Microsoft サポート Web サイト http://support.microsoft.com/ で文書を検索してください。 |
セキュリティ情報のリリース プロセスの詳細については、『セキュリティ情報リリース プロセスの改定』ホワイト ペーパー http://www.microsoft.com/japan/technet/security/bulletin/revsbwp.mspx を参照してください。 最初の通知で収集した情報と、セキュリティ情報および関連の KB 文書でさらに発見した情報は、ソフトウェア更新プログラムが組織に適用可能かどうかを判断するときに役立ちます。 セキュリティ情報の「概要」での簡単な説明によって、セキュリティ情報の内容のすべてを詳しくレビューしなくても、脆弱性が環境に与える可能性のある影響を迅速に評価できます。「概要」では、悪用の種類に注目し、影響を受けるソフトウェアの一覧を提供して、適切な一連の操作を行うことを推奨しています。「概要」を参照すると、セキュリティ情報の残りの部分を詳しくレビューする必要があるかどうかを判断できます。 高レベルの関連性チェックを行って、環境内で脆弱性の影響を受ける可能性があるコンピュータを分離できます。 表 1 で説明した項目に加え、Microsoft Security Response Center (MSRC) では、最大深刻度評価システムを実装しており、この深刻度によって、組織にとっての更新プログラムの重要性を迅速に判断できます。このような評価は、脆弱性の潜在的な影響に基づいており、必要な操作の緊急性を知らせることを目的としています。 テクノロジ固有のソフトウェア更新プログラムの関連性を判断することは、どのような環境でも大きな課題になります。Microsoft Date Engine (MSDE) や IIS などの、クライアントとサーバーにインストールできるテクノロジは、環境内のコンピュータの特定のサブセットに対してソフトウェア更新プログラムが関連するかどうかの判断を困難にする場合があります。これは、環境のインベントリをできる限り正確に維持することの重要性を示しています。 個々のソフトウェア更新プログラムを確認する通知の各ソフトウェア更新プログラムは、詳細で綿密なレビューが必要です。このレビューでは、ソフトウェア更新プログラムと合わせて送付されたものも含めて関連するすべてのドキュメントと、Microsoft の TechNet Web サイトなど、入手可能なサポート情報を参照する必要があります。 適用可能なソフトウェア更新プログラムを特定する電子メール メッセージを受信したら、調査担当者を決める必要があります。これにより、このチーム メンバがこのソフトウェア更新プログラムを担当することになります。レビュー担当者は、関連の KB 文書を読んで、ソフトウェア更新プログラムによって何が修正されるかを理解する必要があります。 ソフトウェア更新プログラムは、特定のシナリオまたは構成に固有の場合があります。レビュー担当者は、運用環境に展開されるシナリオや構成が、KB 文書の内容と一致するかどうかを確認する必要があります。 また、ソフトウェア更新プログラムの依存関係について、次の点を識別する必要があります。 | • | 更新プログラムに関連する依存性はあるか。たとえば、更新プログラムを有効にするため、特定の機能を有効または無効にする必要はあるか。 | | • | ソフトウェア更新プログラムでは、特定のサービス パックをインストールする必要があるか。ソフトウェア更新プログラムは、サービス パックまたは別のソフトウェア更新プログラムによって置き換えられるか。また、新しいバージョンが提供されるまで待ってもよいか。 |
上記の依存関係を識別することは、ソフトウェア更新プログラムのリリースと展開の計画に直接影響するので非常に重要です。どのサービス パック (SP) にソフトウェア更新プログラムが表示されるか、およびアクティブ サービス パックに応じて異なるバージョンのソフトウェア更新プログラムが必要かどうかを文書化してください (ユーザーがあるサービス パックから別のサービス パックにアップグレードした結果として整合性の問題が発生する場合があるので、この点を把握することが重要です)。 SMS 2003 のソフトウェア更新管理機能によって生成されるスキャン結果とレポートを使用して、ソフトウェア更新プログラムに関する特定の情報や適用可能な情報を表示できます。SUS を使用する場合は、SUS サーバーの管理ページからこのようなドキュメントにアクセスできます。SUS および SMS の詳細については、次のモジュール「[HOWTO] SUS を使用したパッチ管理の実行」と「[HOWTO] SMS を使用したパッチ管理の実行」を参照してください。 ソフトウェア更新プログラムのソース ファイルを取得して確認するソフトウェア更新プログラムを識別して、その関連性を確認した後は、ソフトウェア更新プログラムのソース ファイルを取得して、それらの安全性と、正しくインストールされることを確認する必要があります。確認プロセスでは、セキュリティ更新プログラムを認証するか、セキュリティ上問題のある更新プログラムについてはこれを特定します。後者の場合は、無効な通知が届いたときに、その通知についての情報を購読プロセスの担当者やより詳しい調査のためにセキュリティ チームに送信します。たとえば、通知が通常信頼している発行元から配信されていて、特定の通知で検証の結果エラーが検出された場合、これは、この発行元から発信される通知の品質についてのセキュリティ上の懸念を生むことになりかねません。この発行元を調査し、問題がある場合は解決する必要があります。 ソフトウェア更新プログラムの確認では、少なくとも次の手順を実行する必要があります。 | • | ソフトウェア更新プログラムを識別して確認する。 | | • | 付属のドキュメントをすべて確認する。 | • | ソフトウェア更新プログラム ファイルを確認する。 | | • | ソフトウェア更新プログラムのサイズを識別する。 | | • | ソフトウェア更新プログラムの依存関係を識別する。 | | • | 更新プログラムの適用前または適用後に必要なアクションがあれば識別する。 | | • | ソフトウェア更新プログラムのインストール手順が存在することを確認する。 | | • | ソフトウェア更新プログラムのアンインストール手順が存在することを確認する。 |
| | • | ソフトウェア更新プログラムが安全であることを確認する。 |
ソフトウェア更新プログラムを識別して確認するMicrosoft では、新しいソフトウェア更新プログラムについては、電子メール メッセージで管理者に通知していますが、これらのメッセージにソフトウェア ファイルが含まれる (添付される) ことは決してありません。Microsoft がソフトウェア更新プログラムの所有者であることを通知し検証するために行っている主な活動は、次のとおりです。 | • | Microsoft からは、時折、アップグレードやソフトウェア更新プログラムが公開されていることを知らせる電子メール メッセージを送付しています。ただし、このようなメッセージには、ダウンロード サイトへのリンクのみが含まれています。ソフトウェア自体が添付されることは決してありません。また、ダウンロード サイトへのリンクは常に Microsoft の Web サイトまたは Microsoft ファイル転送プロトコル (FTP) サイトにリンクされていて、サード パーティのサイトにリンクされていることはありません。悪質な電子メール メッセージの中には、HTML 形式の電子メール メッセージの場合、表示されているリンク テキストとは異なるインターネット リンクが含まれているものもあります。アクセス先の Web サイトの Universal Resource Locator (URL) をチェックする担当者がいるか確認することが重要です。 | | • | Microsoft では、電子メール通知にリンクを含めると共に、インターネット上でソフトウェア更新プログラムを提供しています。ファイルへのアクセスは、http://www.microsoft.com/Japan、FTP サイト ftp://ftp.microsoft.com、または Windows Update Web サイト http://windowsupdate.microsoft.com 経由で可能です。 | | • | ソフトウェア更新プログラム ファイルは、CD-ROM やフロッピー ディスクなどの物理メディアで提供される場合もあります。 | | • | Microsoft では、図 3 に示すように、常に Authenticode® テクノロジを使用して製品にデジタル署名し、製品ファイルが改ざんされていないことを確認できるようにしています。  図 3 Authenticode デジタル署名 |
ソフトウェアの配布に関するマイクロソフトの方針については、http://www.microsoft.com/japan/technet/security/bulletin/info/swdist.mspx を参照してください。 すべての付属ドキュメントを確認するソフトウェア更新プログラムを適用する前に、すべての関連ドキュメントを読んでピア レビューする必要があります。ピア レビュー プロセスは、1 人のユーザーが更新プログラムを評価するだけでは重要な関連ポイントを見落とす可能性があるというリスクを軽減できるので非常に重要です。ドキュメントを読むときに、次の点に対する回答を探します。 | • | 更新プログラムを適用すると他の問題が起こって、運用システムが侵害される可能性はあるか。 | | • | 更新プログラムを展開する前に何らかのアクションを実行する必要があるか。 | | • | 更新プログラムを展開した後に何らかのアクションを実行する必要があるか。 | | • | 環境に更新プログラムを適用する一方で使用できる回避策または軽減手順はあるか。 | | • | ソフトウェア更新プログラムのインストール手順は利用可能か。 | | • | ソフトウェア更新プログラムのアンインストール手順は利用可能か。 | | • | ソフトウェア更新プログラムのファイルのサイズは。ファイル サイズは、リリースのプロセスと計画全体に影響します。たとえば、モバイル ユーザーへの対応方法に関連します。 |
これらの質問の回答を探すときに役立つ情報が、表 1 で説明したセキュリティ情報の各項で提供されています。 ソフトウェア更新プログラムの安全性を確認するウイルス感染や悪質コードの影響が IT インフラストラクチャに及ばないようにするには、分離された (検疫済み) 環境でソフトウェア更新プログラムに関連するファイルを確認する必要があります。この検疫は、すべてのソフトウェアおよびドキュメントに行う必要があります。検疫済みの環境で、厳密な管理を適切に行う必要があります。これを保証するために、組織内の専門家のグループが検疫プロセスを実行する必要があります。 まれに、ソフトウェア更新プログラムは、レジストリ、構成ファイルの変更、またはアプリケーションの設定だけで済む場合がありますが、ほとんどのソフトウェア更新プログラムはファイルのダウンロードを必要とします。ダウンロードするファイルは必ず検疫してください。ファイルを運用ネットワークから分離し、ウイルスに感染していないかチェックして、ファイルのデジタル信頼性を確認する必要があります。 SUS を使用する場合は、SUS サーバーによって自動的にセキュリティ更新プログラムがチェックされます。新しい更新プログラムは、一時的なファイル拡張子 (.tmp) 付きで格納されます。元のファイル拡張子 (.exe など) に戻されるのは、デジタル署名のチェックが完了した後です。ウイルス スキャンが親 SUS サーバー上で展開されていることも確認する必要があります。識別段階で SUS を使用する方法の詳細については、「[HOWTO] SUS を使用したパッチ管理の実行」を参照してください。 注: Microsoft ダウンロード センター、Windows Update (および Windows Update カタログ)、SUS、ソフトウェア更新プログラム管理機能を適用した SMS 2003 のみが、認証済み Microsoft ソフトウェア更新プログラムを提供しています。他の方法で Microsoft ソフトウェア更新プログラム ファイルを受信する場合は、必ずその妥当性とデジタル署名を確認してください。 ソフトウェア更新プログラムのインストール手順を確認する次に示すのは、ソフトウェア更新プログラムのインストール手順を確認するためのガイドラインです。 | • | ソフトウェア更新プログラムに付属するサポート技術情報およびセキュリティ情報で指定されている手順に従って、ソフトウェア更新プログラムが正しくインストールされることを確認します。 | | • | ソフトウェア更新プログラムの完了後に再起動が必要かどうかを判定します。再起動が必要な場合は、基幹業務サーバー、コア インフラストラクチャ サーバー、および基幹業務 (LOB) アプリケーションを実行するサーバーの計画と展開段階で特別な配慮が必要になります。これらの問題の詳細については、「パッチ管理フェーズ 3 ‐ 評価と計画」 を参照してください。 | | • | アンインストール フォルダを含め、ソフトウェア更新プログラムに必要なディスク容量を評価します。 | | • | 更新プログラムによって、インストール時に使用できる構成オプションが提供されるかどうかを確認します。 | | • | サポート ドキュメントを読んで、ソフトウェア更新プログラムのインストールに関する追加情報を参照します。 |
テストを行っても、ソフトウェア更新プログラムのインストール後に、アンインストールが必要になる問題が起こる場合があります。したがって、アンインストール手順が正しく実行されるかをテストすることが重要です。アンインストール後は、サーバーが問題なく動作することをチェックして、イベント ログおよびシステム モニタ カウンタを監視する必要があります。 Microsoft がリリースする更新プログラムには、アンインストール パスを提供するものと、しないものがあります。セキュリティ情報のセキュリティ更新プログラム情報セクションで技術詳細情報を確認して、アンインストールできるソフトウェア更新プログラムを判定する必要があります。 ソフトウェア更新プログラムの性質を判断して RFC を提出するソフトウェア更新プログラムに関して、識別、組織に関連することの判定、ソース ファイルの取得、安全性とインストールの確認を終えた後は、次の手順として変更の要求 (RFC) を提出し、ソフトウェア更新プログラムの評価および計画段階を開始します。 提出する変更の要求では、次の点を明確にする必要があります。 | • | 変更点は何か。 | | • | どのような脆弱性に対応する変更なのか。 | | • | 変更によってどのサービスが影響を受けるか。 | | • | そのサービスは既にソフトウェア更新プログラムが展開されているか。 | | • | ソフトウェア更新プログラムは、インストールを完了させるために再起動を必要とするか。 | | • | ソフトウェア更新プログラムはアンインストールできるか。 | | • | さらに時間をかけてソフトウェア更新プログラムのテストと展開を行うために、どのような対応策を実行できるか。 | | • | この変更に対する推奨のテスト方針は何か。 | | • | RFC の推奨優先順位は何か。 | | • | どのような変更の影響 (カテゴリ) があるか。 |
ソフトウェア更新プログラムで、非常に重要なセキュリティの問題やシステムの不安定性に対処する場合は、RFC の優先順位を "緊急" とマークする必要があります。緊急 RFC を作成するのは、ソフトウェア更新プログラムの展開、またはネットワーク ポートを閉じるなどのセキュリティ対応策を緊急事項として実行する必要がある場合のみです。 要約 識別段階で留意する必要がある主なポイントを次に示します。 | • | 新しいソフトウェア更新プログラムの通知を必ず受けられるようにする必要があります。 | | • | ソフトウェア更新プログラムの通知が認証済みの配布元から送信されていることを確認する必要があります。 | | • | ソフトウェア更新プログラムが運用環境内のシステムに関連があることをチェックする必要があります。 | | • | ソフトウェア更新プログラムのソース ファイルを取得して、ウイルスに感染していないことを確認する必要があります。 | | • | ソフトウェア更新プログラムのインストールが正しく実行されることを確認する必要があります。 | | • | ソフトウェア更新プログラムが緊急のものかどうかを判断し、さらに運用環境に展開するには RFC を提出する必要があります。 |
評価および計画段階に移行する次の場合は、識別段階の要件が満たされており、評価および計画段階に進むことができます。 | • | 関連のソフトウェア更新プログラムが安全に展開できる更新プログラムであることを既に確認している。 | | • | 評価および計画段階へ進むきっかけとなる、変更の要求 (RFC) を既に提出している。 |
評価および計画段階の詳細については、「パッチ管理フェーズ 3 ‐ 評価と計画」を参照してください。
| 
