更新プログラムおよび更新プログラム管理について : Microsoft のソフトウェア更新戦略
トピック
 | はじめに |
| IT インフラストラクチャを保護する |
| セキュリティおよびソフトウェア更新プログラム管理のための Microsoft テクノロジ |
| 機能 : 更新プログラムおよび更新プログラム管理プロセスを効率化する |
| 関連リンク |
はじめに
企業ネットワークにアクセスするデバイスおよびモバイル ユーザーの増加、ソフトウェアおよびハードウェア ベンダからのセキュリティ更新プログラムの一貫した流れ、システムとアプリケーションのサイズの拡大、ほとんど毎日確認されている新しいセキュリティの脅威、および非常に巧妙になったハッキング コミュニティにより、IT プロフェッショナルは、ソフトウェア更新プログラムの効果的な管理戦略の実装において非常に多くの課題に直面します。
このホワイト ペーパーでは、強力な更新プログラムおよび更新プログラム管理方法論のニーズを体現する最近のセキュリティ トレンドをレビューします。より強力な開発プロセスと、更新プログラムおよび更新プログラムの効率化された通信と配布のメカニズムを通じてソフトウェア セキュリティを促進する Microsoft のさまざまな活動も検証します。最後に、更新プログラムおよび更新プログラムの管理プロセス全体を簡略化することを目的とした将来のリリースを含め、更新プログラムおよび更新プログラムの管理ツールについて説明します。この記事には英語のページへのリンクも含まれています。
セキュリティ トレンド
Forrester Research の業界アナリストによると1、2005 年までにリモート ユーザーは 3500 万人に達し、2010 年までにインターネット上のデバイスは 140 億台に達します。これらの相互接続パスは、承認されていない個人からアクセスされる可能性があります。Computer Security Institute (CSI) によると、2002 年の CSI/FBI コンピュータ犯罪とセキュリティ調査2の結果では、"コンピュータ犯罪とその他の情報セキュリティ侵害の脅威は引き続き衰えず、資金的な負担が上昇する" ことが示されています。
CSI/FBI 調査の回答者の 90% は、2002 年中にコンピュータのセキュリティ侵害を検出しました。それらのセキュリティ侵害の 95% は、不適切なシステム構成が原因で発生しました。調査参加者の約 85% は、そのほとんどがファイアウォール (98%) やウイルス検出テクノロジ (99%) を配備していたにもかかわらず、ウイルスを検出しました。IT インフラストラクチャに対するこれらの攻撃は、独自情報の窃盗、金融詐欺、ワーム、ウイルス、従業員によるネットの悪用など、多くの形態をとります。
カーネギーメロン大学にあるインターネットセキュリティ技術センター、CERT Coordination Center は次のように述べています。「ほとんどの侵入は、主要なインターネット ワーム/ウイルス イベントを含め、対策が可能であった既知の脆弱性、構成エラー、またはウイルス攻撃を利用したものである。利用されるほとんどの脆弱性に対して対策が可能であるが、それらは配備されているだろうか。これらのイベントの影響を受けたシステムおよびネットワークでは、答えは一般に「配備していない」または「一貫した配備は行っていない」である」3
最近の Forrester Research の調査によると、Microsoft 環境に影響する最近の 9 つのセキュリティ不正使用について、平均してワーム/ウイルス イベントの数週間前から数か月前にソフトウェア更新プログラムが入手可能でした。
CERT は、これらのセキュリティ侵入による財政的な損害が、世界中で年間約 150 億ドルになると計算しています。CSI/FBI 調査回答者の 90% が昨年中にコンピュータ セキュリティ侵害を検出し、80% が財政的な損失を受けています。44% (損失を定量化できた企業) が 4 億 5600 万ドルの損失を報告しました。多大な危機に瀕しているため、セキュリティの維持には、企業全体のプログラムに財務、人事、技術などのリソースが参加することが求められています。
また、セキュリティ更新プログラムがリリースされてから、更新プログラムによる脆弱性利用の対処が公式に利用可能になるまでの時間は大幅に短縮されましたが、セキュリティの不正利用はますます巧妙になっています。
したがって、最新のソフトウェア更新プログラム、特にセキュリティ更新プログラムを企業 (小規模、中規模、大規模) 全体に迅速かつ一貫して適用することは、企業全体のシステム管理およびセキュリティ プログラムのますます重要な部分になりました。
IT インフラストラクチャを保護する
セキュリティ管理は、組織または IT 部門がコンピューティング環境全体のリスクを運用で管理および軽減するために何を行えるかを意味します。セキュリティ手段が向上するにつれて、システム管理も向上します。一貫性のある反復可能なプロセス、ポリシーに対する信頼性のある監査とレポート、および効果的な変更管理により、IT インフラストラクチャ全体の不安定性とリスクのレベルが大幅に低減されます。また、前に述べたセキュリティ トレンドが示すように、効果的なセキュリティ管理戦略では、ソフトウェアを最新に保ち、ワーム、ウイルス、およびその他の情報セキュリティ侵害からできるだけ完全に保護する必要があります。
効果的なセキュリティ管理戦略を実装することで、組織は次のようなビジネス上の恩恵を受けます。
| • | システムおよびアプリケーションの使用不能に伴う停止時間とコストが削減されます。 |
| • | 非効率的なセキュリティ更新プログラムの展開に関連する人件費が削減されます。 |
| • | 破壊的なウイルスまたは情報セキュリティ侵害によるデータ消失が削減されます。 |
| • | 知的財産権の保護が向上します。 |
Microsoft は、さまざまなセキュリティ活動を通じて、お客様が自身の IT インフラストラクチャの健全性を保ち、安全なコンピューティング環境がもたらす利益と安心を享受できるようにすることを意図した、製品、リソース、規範となるガイダンス、トレーニング、およびパートナーを提供します。このホワイト ペーパーの以降の節では、セキュリティ更新プログラム管理プロセスを大幅に改善し、現在使用可能なリソースの効果的な使用について規範となるガイダンスを提供するための Microsoft の取り組みについて説明します。
Microsoft のセキュリティおよび更新プログラム管理活動、Trustworthy Computing フレーム
2002 年 1 月にビル・ゲイツが会社の長期活動として発表した Microsoft Trustworthy Computing (信頼できるコンピューティング) 活動は、セキュリティ、プライバシー、信頼性、およびビジネスの整合性という 4 つの主要分野に焦点を当てています。
セキュリティ作業は、次の方向を目指しています。
| • | 更新プログラムの適用の操作性を改善および簡略化して、お客様がすべてのシステムを保護し、最新に保つことを支援する。 |
| • | お客様が Microsoft 製品をできるだけ安全に展開および操作するのに役立つセキュリティ ガイダンスを提供する。 |
| • | セキュリティ更新プログラムがインストールされていない場合でも、Microsoft Windows ベースのコンピュータが攻撃に対してより高い弾性を持つようにする安全性テクノロジを刷新する。 |
| • | Trustworthy Computing 開発プロセスを通じてソフトウェアの品質を向上させ、ソフトウェアの出荷前に脆弱性を低減する。 |
更新プログラムおよび更新プログラム管理の分野における主要な改善の推進は、Trustworthy Computing 活動の重要な側面です。2002 年に、Microsoft はソフトウェア更新プログラムおよびセキュリティ更新プログラムの管理プロセスおよびテクノロジを改善し、これらの改善を推進するための機会を特定するために内部タスク フォースを結成しました。部門をまたがるチームであるこの Patch Management Task Force は、世界中のあらゆる規模の組織にフィードバックを求めました。この広範なお客様との連携に基づいて、Patch Management Task Force は焦点となる 4 つの主要領域に作業を絞りました。
| • | 明確でタイムリーな連絡およびガイダンスを提供する。 |
| • | 標準および動作の一貫性を提供する。 |
| • | リコール、更新サイズ、およびシステム再起動を削減する高品質のセキュリティ更新プログラムを提供する。 |
| • | 整理統合され、コストを意識したツールを提供する。 |
明確な伝達
ソフトウェア更新プログラムおよびセキュリティ更新プログラムに関する情報を IT プロフェッショナルに絶えず伝達することは、お客様が運用リスクを管理する際に必要かつ適切なアクションをとるために不可欠な要素です。ただし、Microsoft は、明確な伝達がときには困難な課題になることが実証されていることを認めます。たとえばお客様は、4 つの異なる Web サイトでセキュリティ更新プログラム管理コンテンツを検索したところ、セキュリティ評価レベルが不明確で、用語と名前付け規則に一貫性がなかったという不満を述べました。
セキュリティ情報通知サービスにより、お客様はワーム、ウイルス、およびその他のセキュリティ イベントに関するタイムリーで正確な情報を Microsoft から直接受け取ることができます。これは、イベントがお客様の環境に関係するものかどうか、セキュリティ更新プログラムをいつどのようにダウンロードおよび展開するか、またソフトウェア更新プログラムやセキュリティ更新プログラムが IT インフラストラクチャ全体にどのように影響するかをお客様が判断するために実行する最初のステップの 1 つです。お客様は、ビジネス IT プロフェッショナルおよびエンド ユーザー用のバージョンと共に最新のセキュリティ情報がポストされた場合に電子メールで通知を受けるようサイン アップできます。
ここ 1 年、お客様からのフィードバックに基づいて、Microsoft はセキュリティ情報通知サービスに次の改善を行いました。
| • | Microsoft Security Response Center は、配布プロセスを標準化し、毎月第 2 火曜日 (日本時間の水曜日) に情報を送信するようになりました (ただし、緊急の対応が必要な場合は情報が即時に発行されます)。 | ||||||||||
| • | セキュリティ情報が、自身のニーズに対して技術的すぎたり詳細すぎたりするというお客様も多くいらっしゃいます。Microsoft は、IT プロフェッショナル向けの従来の情報形式を維持すると共に、より一般的で技術性の低いお客様用情報も送信するようになりました。 | ||||||||||
| • | これまでお客様はセキュリティ更新プログラムに関する情報を得るために多くの場所を検索する必要がありましたが、Microsoft は、セキュリティ情報の Web 検索ツールを作成し、一元的に検索できるようにしました。お客様は、特定の製品およびサービス パック (SP) レベルで使用可能なすべてのセキュリティ情報を表示できます。 | ||||||||||
| • | セキュリティ評価レベルを明確にするために、Microsoft は定義を改訂しました (表 1: 重大度評価の定義を参照)。この作業に関連して、Microsoft はソフトウェア更新プログラムおよびセキュリティ更新プログラムについて、より一貫性のある名前付け規則も作成しました。 表 1: 重大度評価の定義
|
お客様との通信に使用されるその他のツールおよびリソースには、次のものがあります。
| • | Security Guidance Kit - 規範となるセキュリティ ガイダンスに加えてツール、テンプレート、ロードマップ、および手順ガイドのコレクションを提供する無料の CD。このキットは、セキュリティ更新プログラムのインストールの自動化や、組織の保護に役立つ安全でない電子メール添付ファイルのブロックなどの手段の実装に役立つように設計されています。コピーを注文するには、http://www.microsoft.com/japan/technet/security/default.mspx を参照してください。 |
| • | ウイルス情報アライアンス - 業界パートナーである Computer Associates、McAfee、Sybari、Symantec、および Trend Micro と提携して、最新のウイルス アラート情報をお客様に提供します。 |
| • | Solution Accelerator で規範となるガイダンスを提供 - お客様およびパートナーが、利用可能な Microsoft ツールおよびリソースを使用して効果的なセキュリティ プロセスを設計できるように、Microsoft ではこれらのツールおよびリソースの使用について規範となるガイダンスを提供します。セキュリティ更新プログラム管理のガイダンスのための Solution Accelerator は、重要な 24 時間更新プログラム展開に関する追加ガイダンスと共に、セキュリティ更新プログラム管理でのベスト プラクティスを実現するように設計された、適切に定義された 4 ステップのプロセスを使用します。セキュリティおよびソフトウェア更新プログラム管理では 2 つの Solution Acceleration を利用できます。一方は Microsoft Software Update Services (SUS) で使用し、もう一方は Microsoft Systems Management Server で使用します。詳細については、http://www.microsoft.com/japan/technet/itsolutions/cits/mo/default.mspx を参照してください。 |
一貫性と品質
各 Microsoft 製品は、お客様がさまざまな状況で展開の目標を満たすことの支援を主眼とした革新および開発によって年々進化してきました。この独立性により、個々の製品チームは、独創的な方法でお客様のビジネスおよび技術ニーズを満たすことができました。ただし、この独立性は、ソフトウェア更新プログラムおよびセキュリティ更新プログラムが、孤立したそれぞれの環境で開発されていたことも意味します。
共通の専門用語や分類がないため、製品チームが開発した数多くのインストーラ テクノロジでは、提供されるユーザー インターフェイスや機能が異なりました。具体的には、セキュリティ更新プログラムのコードの安定性、パッケージ サイズ、一貫性、およびシステム再起動の要件をさらに改訂する必要がありました。
セキュリティ更新プログラムの品質も、現在の課題です。お客様からのフィードバックでは、リコールと不要なシステム再起動が多すぎ、サイズが大きいことが指摘されていました。Microsoft は、製品をリリースする際に、回帰、互換性、機能、およびセキュリティの包括的なテスト プランを使用して、品質の高いリリースを保証します。ただし、セキュリティ更新プログラムは、一般にできるだけ迅速にテストおよびリリースする必要があります。
これらの一貫性および品質の問題に対処するために、Microsoft は、次のような複数の変更を行い、今後も継続することを計画しています。
一貫性
| • | Microsoft は、用語と名前付け規則を調和させ、すべての製品グループに適用されるガイドラインを開発および施行することを計画しています。新たに実装された標準の包括的なリストは、http://www.microsoft.com/technet/security/topics/patchmanagement/stdpatex.mspx (英語) を参照してください。 |
| • | 2004 年の終わりまでに、組織内での展開のために設計されたすべての Microsoft ソフトウェア (つまり、ビジネス アプリケーションまたは企業アプリケーション) は、2 つの標準インストーラのどちらかを統一的に使用するようになる予定です。これらのインストーラは、オペレーティング システム コンポーネント用の Update.exe と、アプリケーション用の Microsoft Installer (MSI) 3.0 です。どちらのインストーラでも、更新プログラムのアンインストール機能がサポートされ、標準化されたインストール スイッチが使用されます。 |
品質
| • | Microsoft は、現在、5 週間のテスト サイクルを使用しています。サイクルの各ステップには終了基準があり、すべてのセキュリティ更新プログラム コンポーネントがより綿密にテストされます。また、サイクルには、リリース前の更新プログラムについての毎日のワークステーション ストレス テスト、セルフホスティング、一貫したセキュリティ更新プログラム リリース基準、および管理レベルのサインオフが追加されています。更新プログラム サイズの課題に対処するために、パッケージ コンテンツは、不要ファイルや重複ファイルがないかをより入念に検査されます。 |
| • | お客様の環境でテストの問題を明らかにするために、お客様用の更新プログラム検証プログラムが実装されました。 |
| • | Microsoft Security Response Center (MSRC) および Secure Windows Initiative Team は、セキュリティ情報と共に発行されるセキュリティ更新プログラムの正式な事後分析レビューを実施しています。 |
| • | 新しい更新プログラムのリリース頻度の設定は、週 1 回から毎月第 2 火曜日 (日本時間の水曜日) の月 1 回に削減されました。緊急の状況 (つまり、脆弱性の不正使用方法に関する情報が公になったか、すぐにでも公になりそうだと判断された場合) では、Microsoft は設定されたリリース サイクル以外でも必要な更新プログラムをリリースします。 |
| • | Windows Update により提供されるセキュリティ更新プログラムでシステムの再起動が必要になる比率は、10% に削減されました。 |
| • | 最初に Microsoft Windows Server™ 2003 Service Pack 1 (SP1) で提供するようにスケジュールされたホットパッチ (メモリ内更新プログラム) テクノロジは、コンピュータの再起動を必要とする Windows Server 2003 セキュリティ更新プログラムの数を 30% 削減します。この割合は徐々に増加すると予想されます。 |
| • | Microsoft のエンジニアリング チームは、システム再起動が必要かどうか、またオペレーティング システムをどのように改善すれば再起動せずにファイルを置き換えられるかを判断するための優れた検出および動的分析を備えた、より洗練されたインストーラも開発しています。 |
適切なツール
Microsoft は、更新プログラム管理のためのツールおよびテクノロジを継続的に開発します。これらのツールは、個人的なホーム ユーザーから最大規模の企業まで、Microsoft のお客様の独自のニーズに合わせて設計およびカスタマイズされています。このさまざまな一連のお客様ニーズに効果的に対処するために、Microsoft は広範な更新プログラム管理テクノロジ戦略を維持します。次の表に、Microsoft の主要な管理製品を示します。
表 2: Microsoft の更新プログラム管理製品
| テクノロジの種類 | Microsoft 製品 | ||||||
更新分析 |
| ||||||
オンライン更新サービス |
| ||||||
自動更新管理 |
|
個人および IT 管理者は、MBSA 1.2 を使用して、システム上のインストール済みおよび不足しているセキュリティ更新プログラムのレポートを取得できます。MBSA は、さまざまな Windows オペレーティング システムおよびその他の Microsoft ソフトウェアに不足しているセキュリティ更新プログラムを検出します。MBSA には、一般的なセキュリティ構成の誤りをレポートする機能もあります。MBSA 1.2 は、MBSA 1.1.1 で使用可能な更新プログラム スキャンおよびセキュリティ構成の誤り検出にいくつか拡張を加えています。これらの拡張については、次の「MBSA」の節で概説します。
バージョン 1.2 の MBSA 1.2 では、ローカル システム上で不足している Microsoft Office 更新プログラムをスキャンするための Office Update Inventory Tool 2.0 機能も含まれていることに注意する必要があります。したがって、Office Update Inventory Tool は、MBSA スキャンが SMS によって、またはスキャンされるシステム上で MBSA をローカルに実行する別の方法によって開始される場合には不要です。
Microsoft は、Windows Update および Office のアップデートという 2 つのオンライン更新サービスをホストしています。これにより、インターネットを介して個々のシステムを更新できます。サービスの名前が示すように、Windows Update は Windows オペレーティング システムのさまざまなバージョンを更新し、Office のアップデートはこれらの Web サイトにアクセスするシステム上の Microsoft Office 製品ファミリのさまざまなバージョンを更新します。
個人、または IT 管理者が更新管理プロセスを管理していない組織も、Windows の自動更新機能を使用して、Microsoft for Windows XP、Windows 2000 SP3 以上、および Windows Server 2003 によって発行される最新のセキュリティ更新プログラムでシステムを自動的に最新に保つことができます。自動更新によって、最新のセキュリティ更新プログラムおよびクリティカルな更新プログラムが定期的に自動的に確認され、Windows Update から直接ダウンロードされます。個人または IT 管理者は、コンピュータ ユーザーに対して新しい更新プログラムのインストールを求めるプロンプトを表示するか、または更新プログラムを自動的にインストールするかを選択できます。
Trustworthy Computing 活動の早期に、Microsoft は多くの組織から、広範な展開の承認前に独自の運用環境で更新プログラムをテストおよび承認する必要があるという要件が更新プログラム管理ポリシーに含まれていると聞きました。このプロセスを促進するために、Microsoft は SUS 1.0 をリリースしました。これは、単純な更新プログラム管理のために IT 管理者が管理するソリューションです。SUS は、Windows Server のダウンロード可能なコンポーネントであり、Windows Server ライセンスがあれば追加料金なしで Microsoft ダウンロード センターから入手できます。Microsoft は、次のバージョンで SUS の機能を大幅に拡張することを計画しており、その名前を Windows Update Services に変更し、2004 年の終わりにリリースすることを予定しています。
さらにお客様からのフィードバックで、多くのお客様は別々のツールを使用して更新プログラム管理に対処することを望んでおらず、更新プログラム管理機能を含む統合システム管理ソリューションに高い価値を求めていることがわかりました。2003 年 10 月にリリースされた SMS 2003 は、資産管理、ソフトウェア展開、ソフトウェア メータリング、およびその他の高度なシステム管理機能も含む統合システム管理ソリューションの中で高度な更新プログラム管理を可能にすることにより、このニーズに対処しています。
Microsoft は、お客様がこれらの自動化された更新プログラム管理製品の機能と制限を確認し、個々のニーズを最もよく満たすために 1 つ以上のオプションを選択することをお勧めします。次の表に、さまざまなタイプのお客様に最適なオプションをまとめます。
表 3: 自動更新プログラム管理製品の選択
| お客様のタイプ | 適切なオプション | ||||
中規模または大規模組織 |
| ||||
小規模組織 |
| ||||
個人ユーザー |
|
セキュリティおよびソフトウェア更新プログラム管理のための Microsoft テクノロジ
更新分析
Microsoft Baseline Security Analyzer 1.2
MBSA 1.2 は、Microsoft ダウンロード センターから無料の Web ダウンロードとして入手できるスタンドアロン ツールです。MBSA は、Windows XP、Windows 2000、および Windows Server 2003 にインストールでき、ユーザーは、1 台以上の Windows ベース コンピュータで不足しているセキュリティ更新プログラムおよび一般的なセキュリティ構成の誤りをスキャンできます。MBSA 1.2 は、2004 年 1 月にリリースされました。
MBSA 1.2 は、Windows NT 4.0、Windows 2000、Windows XP、および Windows Server 2003 システムのスキャンをサポートします。オペレーティング システム、インターネット インフォメーション サービス (IIS)、Microsoft SQL Server、Microsoft Internet Explore、および Microsoft Office 内で一般的な構成の誤りをスキャンし、Windows、Microsoft Office、IIS、SQL Server、Microsoft Exchange Server などのさまざまな Microsoft ソフトウェアに不足しているセキュリティ更新プログラムをスキャンします。
注 : MBSA 1.2 には、Office Update Inventory Tool 2.0 で提供される機能が含まれます (ローカル スキャンのみ)。詳細については、次の Office Update Inventory Tool 2.0 の節を参照してください。MBSA 1.2 でスキャンされるソフトウェアの完全なリストは、http:www.microsoft.com/japan/technet/security/tools/mbsahome.mspx およびマイクロソフト サポート技術情報の記事 306460 で入手できます。
MBSA 1.2 は、ローカル SUS サーバー上の管理者が承認した更新プログラムの一覧に照らしてスキャンのセキュリティ更新部分を実行する機能もサポートしています。ユーザーは、MBSA グラフィカル ユーザー インターフェイス (GUI) または MBSA コマンドライン インターフェイスでこのオプションを指定できます。このサポートにより、管理者は、実行時にツールによってダウンロードされた Mssecure.xml ファイルに一覧表示されている入手可能なセキュリティ更新プログラムの完全な一覧ではなく、管理者が承認した更新プログラムについてのみ、不足しているセキュリティ更新プログラムのレポートを生成できます。
注: MBSA 1.2 は、管理者が承認した更新プログラムの一覧に基づいてスキャンする際に、もうすぐリリースされる Windows Update Services と互換性がありません。この制限は、MBSA の次のメジャー リリースで修正されます。
前に示したように、MBSA は、1 台以上の Windows ベース コンピュータをスキャンするために GUI とコマンドライン操作を提供しています。個々のユーザーは、MBSA Web インターフェイスの [ようこそ] ページから [単一のコンピュータをスキャンする] を選択することにより、GUI からシステム スキャンを迅速に起動できます。スキャンは、既定でローカル コンピュータを対象とし、一般的な構成の誤りと不足しているセキュリティ更新プログラムのセキュリティ チェックを行います。個人ユーザーの場合は、スキャンを実行すると、コンピュータのセキュリティ対応状況を採点し、各結果を説明し、問題に適切に対処するための推奨手順を詳細に説明する包括的レポートが提供されます。
単一コンピュータのスキャンに加えて、MBSA はドメイン メンバシップまたは IP アドレスの範囲を使用してコンピュータのグループをターゲットにすることができます。MBSA のコマンドライン インターフェイスをタスク スケジューラなどの使用可能なスケジューリング ツールと組み合わせることにより、組織は MBSA 操作をスクリプト化し、定義済みのターゲットのセットに対して定義済みのオプションのセットを使用して、事前に決定されたスケジュールで操作を実行できます。たとえば、スキャンで、リソース利用が少ない時間中に、使用可能なすべてのチェックをドメイン全体に対して行うことができます。反対に、より高度な使用状況により、グループ ポリシーに結び付けられ、ユーザー ログオン プロセスの一環として実行される MBSA スクリプトを作成できます。TechNet Web サイト (http://www.microsoft.com/japan/technet) から入手できるスクリプティング サンプルを使用して、個々のコンピュータ コンプライアンス レポートを更新プログラムまたは構成チェックの集中コンプライアンス ロールアップに結合できます。サンプルでは、コンピュータの数に制限なくスキャンを行う方法と、特定の脆弱性のコンプライアンスをクエリする方法も示します。
MBSA 1.2 で提供される重要な拡張は次のとおりです。
| • | ドイツ語、日本語、およびフランス語のサポート |
| • | インターネット接続ファイアウォール、自動更新、および Internet Explore のゾーンの構成チェック |
| • | Microsoft Office、Exchange Server 2003、その他いくつかの製品を含む追加の Microsoft ソフトウェアに対して不足している更新プログラムのスキャン |
| • | 追加の MBSA コマンドライン スイッチ |
| • | 代替ファイル バージョンのサポート |
MBSA の詳細については、次のリソースを参照してください。
| • | MBSA 1.2 の新機能について、または MBSA 1.2 をダウンロードするには、http://www.microsoft.com/japan/technet/security/tools/mbsahome.mspx を参照してください。 |
| • | MBSA ロールアップ レポートのサンプル スクリプトを入手するには、http://www.microsoft.com/technet/security/tools/mbsascript.mspx (英語) を参照してください。 |
| • | MBSA 機能の包括的な説明については、http://www.microsoft.com/technet/security/tools/mbsawp.mspx (英語) を参照してください。 |
| • | MBSA のコマンドライン構文の詳細については、http://support.microsoft.com/default.aspx?scid=kb;en-us;320454&sd=tech (英語) を参照してください。 |
| • | 製品検出の制限の詳細なリストについては、http://support.microsoft.com/default.aspx?scid=kb;en-us;306460&sd=tech (英語) を参照してください。 |
Office Update Inventory Tool 2.0
Office Update Inventory Tool 2.0 を使用すると、管理者は、組織内の 1 台以上のコンピュータで、Microsoft Office 2000、Microsoft Office XP、および Microsoft Office 2003 の更新プログラムのステータスをチェックできます。管理者は、中央の場所からツールを実行して、適用された更新プログラム、適用できる更新プログラム、および管理イメージにのみ適用できる更新プログラムをレポートできます。
お客様からのフィードバックに基づいて、検出エンジンのバージョン 2.0 は、次の機能を含むように大幅に改善されました。
| • | インベントリ ツールの実行可能ファイルまたは検出データが古いかどうかを判断し、最新バージョンをダウンロードする機能 |
| • | 失効した更新プログラム (より新しいバージョンで置換された更新プログラム) に関する検出出力の情報 |
| • | XML 内の更新情報の検索タスクを簡略化するための識別子、クライアント更新ページへのパス、基準要件など、インベントリ レポート内の追加の詳細情報 |
注 : 前に示したように、Office Update Inventory Tool 2.0 の機能は MBSA 1.2 に統合されたため、システムで不足している Microsoft Office 更新プログラムのリモート スキャンを実行する必要がない限り、このツールではなく MBSA 1.2 を使用する必要があります。
オンライン ホスト サービス
Windows Update
Windows Update は、コンピュータを最新に保つのに役立つ Windows のオンライン拡張機能です。Windows Update では、現在 Windows 98、Windows Millennium Edition、Windows 2000、Windows XP、および Windows Server 2003 がサポートされています。お客様は、Windows Update を使用して、コンピュータのオペレーティング システム ソフトウェアおよびハードウェア ドライバの更新プログラムを選択できます。新しいコンテンツは、Windows の新しい更新プログラムが Microsoft から入手可能になるとすぐに Windows Update に追加されるため、このツールは上記の Windows オペレーティング システムの最新の更新プログラムの信頼できるソースになります。
Windows Update の使用方法は単純な 3 ステップのプロセスです。
1. | Windows Update に入り、[更新をスキャンする] をクリックします。 |
2. | 各カテゴリに表示される更新プログラムを参照し、[追加] をクリックして更新プログラムを選択し、インストールする更新プログラムのコレクションに追加します。必要に応じて、[詳細情報] リンクをクリックして各項目の詳細な説明を読みます。 |
3. | 必要な更新プログラムをすべて選択したら、[更新の確認とインストール] をクリックし、[今すぐインストールする] をクリックします。 |
Windows Update Catalog (WUC) は、ユーザーまたは管理者が個々のカテゴリ (オペレーティング システムまたはハードウェア ドライバ) の更新を要求して固定の場所にダウンロードし、後で展開できるようにすることで、Windows Update の基本操作を拡張します。WUC は、更新プログラムをサブディレクトリ構造に事前にパッケージ化し、ダウンロード履歴を表示して、ダウンロードされた更新プログラム、その場所、およびそれぞれの簡単な説明を示します。
WUC は、Windows Update サイトを通じて入手できます。このリンクは目次の一番下にあります。リンクが表示されていない場合は、[Windows Update のカスタマイズ] の設定を変更して、WUC へのリンクが表示されるようにすることができます。
Office のアップデート
Office のアップデートは、Windows Update と概念は似ていますが、Microsoft Office 製品スイートの更新に限定されます。サポートされる製品のリストについては、[Office ダウンロードについて] ページの「Office ダウンロード サイトはどの Office 製品をサポートしていますか? (英語)」を参照してください。
ユーザーは、Office のアップデート (英語) サイトにアクセスし、[更新プログラムの確認] を選択して、コンピュータの Microsoft Office インストール環境で不足しているソフトウェア更新プログラムまたはサービス パックのスキャンを開始します。システムを最新にするのに必要な、不足している更新プログラムの詳細なリストが表示され、選択した更新プログラムがコンピュータにインストールされます。
管理者が開始する Office の更新
組織では、マシンを個別に更新するのが実際的でない場合があります。管理されている環境で、ソフトウェア更新プログラムを適用し、Microsoft Office 製品をメンテナンスする主な方法が 2 つあります。
| • | 管理イメージに更新プログラムを適用する。 |
| • | ソフトウェア更新プログラム (バイナリ更新プログラムまたは FullFile 更新プログラム) をクライアントに直接適用する。 |
「Office Admin Update Center (英語)」には、組織に適したメンテナンス方法に関する情報が記載されています。
Microsoft には、組織での Microsoft Office インストール環境の更新プロセスを支援する 2 つの追加ツールが用意されています。
| • | Microsoft Security Baseline Analyzer 1.2 および Office Update Inventory Tool 2.0 - Office 製品ファミリで不足している更新プログラムをスキャンできます。これらのツールの詳細については、このドキュメントの「更新分析」の節を参照してください。 |
| • | Ohotfix.exe - 管理者が組織内で更新プログラム ファイルを展開できるように設計されたユーティリティです。OHotFix は、.ini ファイルに格納されている展開に関する一連の指示を読み取り、これらの指示を使用してコンピュータに更新プログラムを適用することで機能します。Office 更新プログラム ファイルがシステムで使用可能な場合、OHotFix はコンピュータで Office アプリケーションもチェックして、どのアプリケーションの更新が必要かを判断し、インストール環境が最適化されるように更新プログラム ファイルのグループを注文することもできます。 詳細については、http://www.microsoft.com/office/ork/xp/journ/Ohotfix.htm (英語) を参照してください。 |
注 : 管理されている IT 環境での Microsoft Office の更新に関する最新情報および詳細なドキュメントは、http://www.microsoft.com/office/ork/updates/default.htm (英語) にある「Office Admin Update Center」を参照してください。
自動更新プログラム管理製品
自動更新
自動更新は、Windows 2000 SP3 以上、Windows XP、および Windows Server 2003 の機能であり、Windows Update から入手可能な新しいセキュリティ更新プログラムおよび重要な更新プログラムを自動的に確認してダウンロードするように個々のシステムを構成できます。自動更新コンポーネントには、不足している更新プログラムを検出するための分析機能が含まれます。この機能は、コンピュータで実行されているオペレーティング システムのバージョンに対して不足している更新プログラムのみダウンロードし、ユーザーにプロンプトを表示するように構成することも、コンピュータに更新プログラムを自動的にインストールするように構成することもできます。
IT 管理者は、グループ ポリシー、または関連するレジストリ設定値を構成するスクリプトを使用して、さまざまな自動更新設定を集中的に構成できます。
Software Update Services 1.0
SUS は、各ソフトウェア更新プログラムをインストールする前にそれを承認する必要のある組織のために設計された Windows Update のバージョンです。SUS を使用すると、管理者は Windows 2000、Windows XP Professional、または Windows Server 2003 システムを実行しているコンピュータに Windows 関連のセキュリティ更新プログラムおよび重要な更新プログラムを迅速かつ簡単に展開できます。SUS には、次の機能があります。
| • | ソフトウェア更新プログラムを各 SUS サーバーで承認して、別々の環境でテストすること、また企業全体で展開を段階的に行うことができます。 |
| • | 前述の自動更新コンポーネントと同じである SUS クライアントは、SUS サーバーからソフトウェア更新プログラムをダウンロードするように構成することも (共有インターネット接続上の帯域幅が節約されます)、Windows Update から直接ダウンロードするように構成することもできます。 |
| • | インターネットに接続している SUS サーバーから CD-ROM にソフトウェア更新プログラムをコピーし、インターネットにアクセスしていない保護ネットワーク上の SUS サーバーに転送することもできます。 |
SUS サーバーには、Windows 2000 Server または Windows Server 2003、IIS、および SUS クライアントとのポート 80 通信が必要です。SUS サーバーは、親 SUS サーバーから (または Windows Update から) ソフトウェア更新パッケージと承認を手動または自動で同期し、環境のメンテナンス方法に柔軟性を与えるように構成できます。
SUS サーバーの展開は、組織のシステム更新に関する要件に従って開始されます。理論的には、単一の SUS サーバーで組織のセキュリティ更新プログラム管理ニーズに適応できます。ただし、実際的には複数の SUS サーバーを展開することをお勧めします。
たとえば、SUS サーバーを展開前のテスト用のテスト環境に展開し、セキュリティ更新プログラムが組織に与える影響を判断できます。SUS サーバーは、Windows Update サイトと直接通信して、更新プログラムの可用性を判断します。特定の更新プログラムがテストされた後で、それらを運用 SUS サーバーで承認します。この運用 SUS サーバーは、セキュリティ更新プログラムの可用性を Windows Update サイトから取得し、更新プログラムをローカルにダウンロードするか、更新情報でローカル SUS メタファイルを変更するように構成できます。"ルート" SUS サーバーが適切に更新、ローカライズ、または参照された後で、階層化された SUS サーバー (組織のデスクトップに近い場所に展開される可能性があります) は、使用可能な承認済みの更新プログラムについて "ルート" SUS サーバーと同期するように構成できます。同期プロセスは手動で行うか、スケジュールできます。
SUS クライアントは、構成済みの日次または週次スケジュールに従って関連 SUS サーバーに接続します。「自動更新」の節で示したように、クライアントは [グループ ポリシー] 設定または適切なレジストリ設定値を設定する管理スクリプトを使用して集中的に構成できます。グループ ポリシーに従って設定される管理者定義の構成オプションは、常にユーザー定義オプションに優先します。また、管理ポリシーが設定されている場合は、コントロール パネルの [自動更新] オプションがクライアント上で無効になります。
管理者は、Web サーバーを使用して、ダウンロードされた更新プログラムに関する自動更新からの統計情報をインストール ステータスと共にログに記録できます。これらの統計は HTTP プロトコルを使用して送信されるため、Web サーバーはログ内のこの情報を収集できます。統計サーバーは、ログ記録を有効にして IIS 5.0 以上を実行しているコンピュータである必要があります。
詳細については、http://www.microsoft.com/japan/windowsserversystem/updateservices/default.mspx を参照してください。
Systems Management Server 2003
SMS 2003 で提供される高度な更新管理機能を使用すると、管理者はセキュリティ更新プログラムおよびその他の更新プログラムを企業全体で簡単に管理できます。SMS は常に任意の種類のソフトウェアを配布できましたが、新しい更新プログラム管理機能はセキュリティ更新プログラムの管理プロセスを効率化します。
SMS には、インベントリ、脆弱性、およびソフトウェア更新プログラムの、包括的な評価機能があります。また、コンプライアンスおよびインストール結果を示す Web ベースのレポートと、セキュリティ更新プログラム管理を簡略化するウィザードもあります。SMS 2003 は、Windows、Microsoft Office、および MBSA でスキャンされるその他の製品のセキュリティ更新プログラムを評価および展開します。これには、次のツールが含まれます。
Security Update Inventory Installer
Security Update Inventory Installer を使用して、クライアント コンピュータに適用可能なセキュリティ更新プログラムおよびインストール済みのセキュリティ更新プログラムのインベントリを作成します。このインストーラは 3 つの主要コンポーネントから構成されます。
| • | Security Update Inventory Installer - SMS サイト サーバー上で稼働し、SMS システム内の他のツール コンポーネントを展開するのに必要なパッケージ、コレクション、および提供情報を自動的に作成します。 |
| • | Security Update Inventory Tool - セキュリティ更新プログラム情報カタログ (Mssecure.xml) および Microsoft XML パーサー (MSXML) に加えて既存の MBSA 1.2 テクノロジを使用して、クライアント コンピュータでインストール済みのセキュリティ更新プログラムまたは適用可能なセキュリティ更新プログラムの自動的で継続的なスキャンを実行します。次に、これらのツールによって収集されるデータを SMS インベントリ データに変換します。 |
| • | Security Update Sync Tool - インストーラによって展開され、インターネットに接続している単一コンピュータ上で稼働します。Microsoft ダウンロード Web サイトを定期的にチェックして、最新のセキュリティ更新プログラム情報カタログをダウンロードします。次に、SMS インフラストラクチャ内の SMS 配布ポイントを使用して、これらのアイテムの最新バージョンをクライアント コンピュータに送信します。 |
ソフトウェアの更新の配布ウィザード インストーラ
ソフトウェアの更新の配布ウィザード インストーラを使用して、ソフトウェアの更新の配布タスクを実行します。このインストーラは 3 つの主要コンポーネントから構成されます。
| • | ソフトウェアの更新の配布ウィザードインストーラ - SMS サイト サーバー上で稼働し、ソフトウェアの更新の配布ウィザード コンポーネントをインストールします。 | ||||||||||||
| • | ソフトウェアの更新の配布ウィザード - SMS サイト サーバーから次のソフトウェアの更新の配布タスクを実行します。
| ||||||||||||
| • | ソフトウェアの更新のインストールエージェント - 提供されるソフトウェア更新プログラムをクライアント コンピュータ上の不足している更新プログラムおよびインストール済み更新プログラムに照らして評価します。必要な更新プログラムのインストール プロセスを容易にし、重複した更新プログラムや不要な更新プログラムのインストールを防いで、システムのオーバーヘッドを削減します。 |
ソフトウェア更新プログラムの Web レポート アドイン
ソフトウェア更新プログラムの Web レポート アドインは、SMS Web レポート ツールに機能を追加し、ソフトウェア更新プログラム インベントリ ツールによって収集される情報から作成されたレポートのセットをユーザーが表示できるようにします。Web レポート アドインから入手できる構成済みレポートに加えて、SQL Server ビューおよびインベントリ スキーマを使用したカスタム インベントリ レポートもサポートされます。
高度な更新プログラム管理機能または更新プログラム管理を含む統合システム管理ソリューションを探している組織は、SMS 2003 を検討する必要があります。
機能 : 更新プログラムおよび更新プログラム管理プロセスを効率化する
Microsoft は、セキュリティ更新プログラムおよびソフトウェア更新プログラムの管理のためにお客様が利用できるツールセットを絶えず改良するよう努めています。前に述べたように、お客様からのフィードバックで、ツールの整理統合の必要性が指摘されました。このため、Microsoft はさまざまな更新プログラム管理テクノロジを整理統合するように設計されたロードマップを定義しました。
このロードマップに従って、Microsoft は核となる更新プログラム管理インフラストラクチャおよび Windows の単純な更新管理のソリューションを提供します。Software Update Services の次のバージョンである Windows Update Services は、Windows でこのインフラストラクチャおよび更新プログラム管理ソリューションを提供するための第一歩です。Windows Update Services は、最初は Windows 2000 Server または Windows Server 2003 のライセンスに対して Web ダウンロードとして追加料金なしで提供され、将来リリースされる Windows に組み込まれます。
また、Windows Update Services には、Windows Update Services でサポートされるすべてのソフトウェアに対して不足している更新プログラムを検出するための Microsoft の信頼できる組み込み分析エンジン、および MBSA や SMS などのその他の管理ツールやセキュリティ ツールも含まれます。また、他のソフトウェア ベンダの製品から WUS 分析エンジンを起動して、不足している Microsoft ソフトウェア更新プログラムのレポートを取得できます。分析エンジンは、Windows に含まれる Windows Update Services クライアント (自動更新を有効にするのと同じコンポーネント) に組み込まれているため、これらの製品は、Windows Update Services サーバーの展開に依存することなく、分析エンジンを使用できます。
今後、SMS とその後継製品 (Microsoft System Center) は Windows Update Services インフラストラクチャをますます利用して、高度な更新プログラム管理機能を提供するようになります。
近い将来に計画されている更新プログラム管理テクノロジ リリースには、Microsoft Update、Windows Update Services、SMS 2003 SP1、および MBSA 2.0 が含まれます。
Microsoft Update
Windows Update と同様の機能を持つ Microsoft Update は、Microsoft によってホストされる新しいオンライン更新サービスであり、Windows オペレーティング システムのさまざまなバージョンおよび追加の Microsoft ソフトウェアの更新プログラムの配布をサポートします。Microsoft Update は、重要なドライバ更新プログラムも提供します。Microsoft Update は、2004 年の終わりにリリースするようスケジュールされています。
最初のリリース時には、Microsoft Update は Windows 2000、Windows XP、Windows Server 2003、Microsoft Office 2003、Microsoft Office XP、Microsoft SQL Server 2000、MSDE 2000、および Microsoft Exchange Server 2003 の更新プログラムを配布します。その他の Microsoft ソフトウェアの更新プログラムの配布は、後で随時提供されます。
Windows Update は、レガシに関する理由で、引き続き Microsoft Update と共にメンテナンスおよび更新されます。
Windows Update Services
SUS 1.0 で提供されている機能の上に構築される Windows Update Services は、Software Update Services の次のバージョンであり、セキュリティ更新プログラムおよびソフトウェア更新プログラムの全体的な管理を簡略化する一方で管理の柔軟性を高めます。Windows Update Services は、Microsoft Update のリリースと連携して、2004 年の終わりにリリースするようスケジュールされています。
Windows Update Services は Microsoft Update と同期して更新されたコンテンツをダウンロードするため、Windows Update Services の初期リリースは、Microsoft Update について前に示したのと同じソフトウェア セットの更新を最初にサポートし、そのコンテンツが Microsoft Update で使用可能になったときに追加の Microsoft ソフトウェアを随時自動的にサポートします。
追加の Microsoft ソフトウェアを更新する機能に加えて、Windows Update Services で提供される主要な拡張は次のとおりです。
| • | Windows Update Services でサポートされるすべてのソフトウェアで不足している更新プログラムを検出するための Microsoft の信頼できる組み込み分析エンジン、更新プログラム管理の新しいデータ モデル、および Microsoft 以外の管理ソフトウェアやセキュリティ ソフトウェアおよび管理スクリプトの開発との統合を可能にするクライアントおよびサーバー API を含む、Windows の新しい更新プログラム管理インフラストラクチャ |
| • | 更新対象、アンインストール、クライアント検出頻度、インストール期限、エンドユーザーの操作性などを制御するための拡張された管理機能 |
| • | 更新プログラムのダウンロードに関連するビットの量を大幅に削減するための、改良されたバイナリ差分圧縮を含む拡張された帯域幅最適化 |
| • | 不足している更新プログラム、ダウンロード ステータス、およびインストール ステータスを示す定義済みレポートを含むステータス レポート |
Windows Update Services の詳細については、http://www.microsoft.com/japan/windowsserversystem/updateservices/default.mspx を参照してください。
Systems Management Server 2003 SP1
SMS 2003 のリリース以降、Microsoft は 2004 年 1 月にリリースされた拡張 MBSA 1.2 を使用するように分析テクノロジを更新しました。SMS 2003 SP1 は、2004 年の第 3 四半期に入手可能になり、Microsoft から更新プログラムをより迅速かつ簡単に取得できるようにし、それらを企業に配布することで、SMS 2003 の既存の更新プログラム管理機能を改善します。また、SMS 2003 SP1 は、SMS 2003 を拡張して、現在の SMS 2003 で Microsoft の更新をお客様が管理するのと同じ統合された方法で、Dell Corporation などの主要なハードウェア メーカーからの更新プログラムを提供します。
また、SMS 2003 は、このクライアントのリリース後間もなく Windows Update Services クライアントで分析エンジンを使用するように更新されます。このエンジンを使用すると、すべての Microsoft プラットフォームおよび製品で更新スキャンの一貫性が向上します。次のバージョンの SMS では追加の拡張が計画されていますが、このドキュメントの執筆時点ではまだ最終確定していません。
SMS 2003 の詳細については、http://www.microsoft.com/japan/smserver/default.mspx を参照してください。
Microsoft Baseline Security Analyzer 2.0
2005 年前半にリリースが予定されている MBSA 2.0 では、あらゆる規模の組織のセキュリティの問題を検出、分析、および修正する機能が大幅に向上します。MBSA は、一般的なセキュリティ構成の誤りおよび不足しているセキュリティ更新プログラムを引き続きレポートしますが、Windows Update Services でサポートされるすべてのソフトウェアに対しては Windows Update Services の分析エンジンを使用します。ただし、Windows Update Services が組織で使用するために設計されたすべての Microsoft ソフトウェアをサポートするまでは、MBSA は Windows Update Services でサポートされていないソフトウェアに対して引き続き固有の分析エンジンを使用します。
MBSA の詳細については、http://www.microsoft.com/japan/technet/security/tools/mbsahome.mspx を参照してください。
関連リンク
詳細については、次のリソースを参照してください。
| 1 | Forrester Research、2003 年 |
| 2 | Computer Security Issues and Trends, Vol. VIII. No. 1, Spring 2002 |
| 3 | CERT、2003 |