TechNet ホーム > 更新プログラム管理

識別 : Systems Management Server (SMS) の使用

ステップ 1 : 新しいソフトウェア更新プログラムを信頼性の高い方法で検索する

ソフトウェア更新プログラムの識別は、それらを安全で信頼性の高い方法で検索することから始まります。探索には、それぞれ次の方法を提供する 2 つの主要なコンポーネントがあります。

新しいソフトウェア更新プログラムの通知が届けられる方法

ソースと通知の信頼性を確認できる方法

*
トピック
新しいソフトウェア更新プログラムの通知が届けられる方法新しいソフトウェア更新プログラムの通知が届けられる方法
ソースと通知の信頼性を確認できる方法ソースと通知の信頼性を確認できる方法

新しいソフトウェア更新プログラムの通知が届けられる方法

更新プログラムの識別は更新プログラムの通知から始まります。この通知はスキャンとレポートに対応した信頼できるソースへのサブスクリプション、またはその他の信頼できる通知メカニズムによって提供される必要があります。最も一般的に使用される通知メカニズムを次に示します。

電子メールによる通知

電子メールによる通知は、更新プログラムの通知の最も一般的な形式です。電子メールによる通知の 1 つの選択肢として、http://www.microsoft.com/japan/technet/security/bulletin/notify.mspx から "マイクロソフトプロダクトセキュリティ警告サービス" に登録することがあります。暫定の製品リリースまたはソフトウェア更新プログラムについて、ユーザーは通常、更新されたものが Microsoft Web サイトで入手可能になったことを通知する電子メール メッセージを受け取ります。

Microsoft では、毎月の第 2 火曜日にソフトウェア更新プログラムをリリースしています。ただし、重大な脆弱性によって、このスケジュール以外でリリースされる可能性のある当面のセキュリティ更新プログラムのリリースが保証されない場合に限ります。管理者に新しいセキュリティ更新プログラムを通知する電子メール メッセージの例を、図 2.6 に示します。

管理者に新しいソフトウェア更新プログラムを通知する電子メール メッセージの例

図 2.6   管理者に新しいソフトウェア更新プログラムを通知する電子メール メッセージの例 拡大表示する

脆弱性スキャン ツール

Microsoft Baseline Security Analyzer (MBSA) は脆弱性のスキャンに有効なツールです。MBSA を単独で動作するツールとして使用して、ローカルおよびリモート コンピュータのインストール済みおよびインストールされていないソフトウェア更新プログラムをスキャンします。MBSA はまた、インストール済みおよびインストールされていないソフトウェア更新プログラムと構成の脆弱性について、特定のドメイン内またはサブネット範囲内のすべてのコンピュータをスキャンすることもできます。こうしたスキャンの結果を使用して、環境内のインストールされていないソフトウェア更新プログラムを識別して検出します。MBSA スキャンは SMS で管理されていない、または意図的に SMS の管理領域から除外されているサブネット内のコンピュータをスキャンする場合に特に有用です。

MBSA ではアクセスの管理者権限を持つコンピュータだけを検出してスキャンすることに留意してください。このため、最上位の資格情報を持つエンタープライズ管理者またはセキュリティ管理者が MBSA スキャンを実行することをお勧めします。

Windows XP SP2 を実行しているコンピュータの脆弱性をスキャンするためには、MBSA 1.2.1 以降が必要です。Windows XP SP2 を実行しているコンピュータにおける MBSA 1.2.1 のサポート情報の詳細については、「Microsoft Baseline Security Analyzer V1.2.1」(http://www.microsoft.com/japan/technet/security/tools/mbsa1/default.mspx) を参照してください。

SMS 2003 ソフトウェア更新プログラム管理レポート

SMS 2003 のソフトウェア更新プログラム管理機能のコンポーネントを使用して、インストールされていないまたは適用済みのソフトウェア更新プログラムを環境全体にわたってスキャンし、そのレポートを作成できます。ソフトウェア更新プログラム インベントリ ツールと SMS 2003 レポートを使用すると、インストール済みおよびインストールされていないソフトウェア更新プログラムをスキャンし、そのレポートを作成できます。

SMS 2003 ソフトウェア更新プログラム スキャン ツールには、次のものがあります。

Security Update Inventory Tool - Microsoft オペレーティング システム、Internet Explorer、SQL Server、および Exchange 用のセキュリティ更新プログラムに対処します。

Office Inventory Tool for Updates - Microsoft Office 用のソフトウェア更新プログラムに対処します。

これらのツールの間に依存関係はありません。単独で使用することも、併用することもできます。SMS 2003 ソフトウェア更新プログラム スキャン ツールには、それぞれ、ツールをインストールするためのインストーラ プログラムが付属しています。

メモ    SMS 2003 ソフトウェア更新プログラム スキャン ツールは、既定では SMS サイトにインストールされません。その代わりに、http://www.microsoft.com/japan/smserver/default.mspx からダウンロードできます。

SMS 2003 ソフトウェア更新プログラム スキャン ツールから得られるインベントリ データは、SMS クライアントの適合性レベルに関して、SMS 2003 のハードウェア インベントリ (HINV) 内の詳細情報を提供します。この情報には、次の内容が含まれています。

現在インストールされている更新プログラムとサービス パック

入手および適用が可能なソフトウェア更新プログラム

更新プログラムが掲示された日時

更新プログラムがインストールされた日時 (該当する場合)

この他に、ソフトウェアの更新インベントリ データには、適用可能な更新プログラムに関する Microsoft サポート技術情報 (KB) の文書へのリンクが含まれており、それらの更新プログラムの組織内での必要性を評価するのに役立つ関連情報にアクセスできます。

メモ   SMS 2003 ソフトウェア更新プログラム管理機能、および SMS 2003 を使用したさまざまなソフトウェアの更新作業の実行方法に関する作業手順の詳細については、「Systems Management Server 2003 Operations Guide」(http://www.microsoft.com/technet/prodtechnol/sms/sms2003/opsguide/default.mspx) (英語) の「Chapter 6 Managing Software Updates」、および「Systems Management Server 2003 コンセプト、計画、導入ガイド」(http://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=784838B3-34E0-4122-B3E2-17C5B4EEF8F4 ) の「第 3 章 SMS 機能とは」を参照してください。

SMS 2003 ソフトウェア更新プログラム スキャン ツールを実行すると、Web レポートだけでなく、SMS 管理コンソール内にも情報が生成されます。SMS 2003 内のコンソール ベースのスキャン結果の例を、図 2.7 に示します。

SMS 管理コンソールを使用した、インストールされていないソフトウェア更新プログラムおよび対応するセキュリティ情報 ID 番号の識別

図 2.7   SMS 管理コンソールを使用した、インストールされていないソフトウェア更新プログラムおよび対応するセキュリティ情報 ID 番号の識別拡大表示する

Microsoft では、カタログ (Mssecure.xml) と Web ダウンロードの形式でセキュリティ更新プログラムに関する情報をリリースします。セキュリティ更新プログラム カタログと Microsoft Office 更新プログラム カタログは、新しいセキュリティ更新プログラムのリリースに合わせて定期的に更新されます。

SMS 2003 のソフトウェア更新プログラム管理機能では、これらのカタログを参照してクライアントを評価します。ソフトウェア更新プログラム管理ツールは、エンタープライズ内のすべての SMS クライアント コンピュータにインストール済みおよび適用可能な更新プログラムの詳細なインベントリを実行します。ソフトウェア更新プログラム スキャン ツールが、クライアントをスキャンしてクライアントを最新の状態にするためにどの更新プログラムが必要かを判別し、次に、管理者がソフトウェアの更新の配布ウィザードを使用して必要な更新プログラムを展開します。

SMS 2003 および SMS 2003 SP1 には、組織全体にわたってインストールされていないソフトウェア更新プログラムを検索するための、あらかじめ定義されたいくつかの更新プログラム関連のレポートが用意されています。それらのレポートは、適用可能なソフトウェア更新プログラムとインストールの状況を表示します。

この一例として、SMS 2003 の "適用可能なコンピュータとインストールされているコンピュータの数があるソフトウェアの更新" レポートを使用すると、すべてのインストール済みまたは適用可能なソフトウェア更新プログラムの一覧をそれらに関する情報と共に表示できます。このレポートには、各ソフトウェア更新プログラムがインストールされていないコンピュータ数、およびソフトウェア更新プログラムが既にインストールされている管理用対象のコンピュータ数についても一覧表示されます (図 2.8 参照)。

適用可能なコンピュータとインストールされているコンピュータの数があるソフトウェアの更新

図 2.8   SMS 2003 の "適用可能なコンピュータとインストールされているコンピュータの数があるソフトウェアの更新" レポート拡大表示する

次のサンプル SQL クエリを使用して、過去 7 日間に環境内で報告された新しいソフトウェア更新プログラムを識別することもできます。

select QNumbers0 as Knowledgebase,
      ID0 as Bulletin,
      Product0 as ‘Affected Product’,
      Title0 as ‘Vulnerability’,
      MAX(DatePosted0) as ‘Release Date’,
      MAX(DateRevised0) as Revised,
      MIN(TimeDetected0) as ‘First Detected on Clients’
from v_gs_patchstate
where (TimeDetected0 >= DATEADD(day,-7,getdate())
or DatePosted0 >= DATEADD(day,-7,getdate())
or DateRevised0 >= DATEADD(day,-7,getdate()))
 and Status0 != ‘Installed’
group by QNumbers0, ID0, Product0, Title0

Microsoft Operations Manager 2005 MBSA 管理パック

Microsoft Operations Manager (MOM) を使用するお客様に対して、MOM 2005 エディションには MOM エージェントを実行するコンピュータ上でインストールされていないソフトウェア更新プログラムに関する警告を生成するために使用できる MBSA 用の管理パックが用意されています。ビジネスに不可欠なサーバーおよびアプリケーションのリアルタイムに近い監視を希望するお客様は、MBSA 管理パックをターゲット コンピュータに展開できます。MBSA 管理パックは、定期的に MBSA スキャンを実行して MOM Operations コンソール上に警告を生成するので、それらの警告を使用して、サーバー所有者や SMS 管理者に新しいソフトウェア更新プログラムの必要性を通知できます。

MOM とさまざまな管理パックの詳細については、http://www.microsoft.com/japan/mom を参照してください。

ソースと通知の信頼性を確認できる方法

ソフトウェア更新プログラムを慎重に取り扱うことが重要です。以下のガイドラインは、各通知を検証して、その通知が利用できる最新のセキュリティ情報であることを確認するのに役立つことを目的としています。

何らかのソフトウェア ファイルが添付された送信元が Microsoft となっている電子メール通知は、すべて直ちに削除します。電子メール通知に添付されている実行可能ファイルは、決して実行またはインストールしないでください。

メモ   Microsoft では、電子メール添付ファイルの形式でソフトウェアを配布することは決してしない方針をとっています。「ソフトウェアの配布に関するマイクロソフトの方針」(http://www.microsoft.com/japan/technet/security/bulletin/info/swdist.mspx) を確認してください。

電子メール通知内のリンクを直接クリックしないでください。その代わりに、当該 URL をブラウザのウィンドウに入力して、Microsoft Web サイトに移動することを確認してください。

セキュリティに関する信頼できる詳細情報を参照するには、必ず、Microsoft TechNet セキュリティ センター Web サイト (http://www.microsoft.com/japan/technet/security/default.mspx) にアクセスしてください。もう 1 つの方法として、セキュリティ情報の入手にインターネット アクセスをしたくない場合は、Pretty Good Privacy (PGP) 暗号化ツールを使用して、各セキュリティ情報に含まれる PGP 署名が正当なものであることを確認します。

http://www.microsoft.com/technet/security/bulletin/pgp.mspx (英語) から Microsoft Security Response Center (MSRC) セキュリティ情報キーをダウンロードできます。

デジタル署名を検証する方法の詳細については、「マイクロソフト テクニカル セキュリティ情報通知のご案内」Web サイト (http://www.microsoft.com/japan/technet/security/bulletin/notify.mspx) を参照してください。

メモ   Microsoft からの通知と偽るいくつかの偽電子メールがあります。Microsoft セキュリティ情報を受信したら、Microsoft セキュリティ情報検索 Web サイト (http://www.microsoft.com/japan/technet/security/current.aspx) にアクセスして、その情報とソフトウェア更新プログラムへのすべてのハイパーリンクを確認してください。

こういった種類の偽情報の詳細については、「Information on Bogus Microsoft Security Bulletin E-mails」(http://www.microsoft.com/technet/security/bulletin/info/patch_hoax.mspx) (英語) を参照してください。

電子メール通知にはそのメールで報告する脆弱性に関する詳細情報が含まれていますが、セキュリティ情報に関する最も包括的で最新の情報を提供するソースとして、Microsoft のセキュリティ Web サイト (http://www.microsoft.com/japan/technet/security/default.mspx) を必ず参照することをお勧めします。

SMS ソフトウェア更新管理機能がソフトウェア更新プログラムを検出するかどうかの判定

この判定を行う最初のステップは、サポート技術情報 (KB) の文書番号 306460「Microsoft Baseline Security Analyzer (MBSA) で一部の更新について注意が表示される」(http://support.microsoft.com/kb/306460/ja) を読むことです。この KB 文書では、MBSA がインストール済みまたはインストールされていないソフトウェア更新プログラムのいずれかを検出できるかどうかを示します。

製品がサポート対象の一覧に含まれている場合、ソフトウェア更新プログラム自体が MBSA で検出可能かどうかをチェックする必要があります。このことについても、KB 306460 に説明があります。

ソフトウェア更新プログラムを MBSA でサポートされていない製品に適用する場合には、KB 867832「How to distribute software updates that are not detected by the Microsoft Baseline Security Analyzer in Systems Management Server 2003」(http://support.microsoft.com/default.aspx?scid=kb;en-us;867832) (英語) を参照してください。

ソフトウェア更新プログラムが MBSA で検出可能な場合、SMS のソフトウェア更新プログラム管理ツールを使用して、ソフトウェア更新プログラムが適用可能なコンピュータを識別できます。

ソフトウェア更新プログラムが Microsoft Office プログラム用の場合、その更新プログラムが Microsoft Office Inventory Tool for Updates でサポートされている更新プログラムの一覧に含まれているかどうかをチェックします。ソフトウェア更新プログラムがこの一覧に含まれていれば、ソフトウェア更新プログラム管理ツールを使用して、どのコンピュータにソフトウェア更新プログラムが適用されるかを判断できます。ソフトウェア更新プログラムが一覧に含まれていない場合、SMS 2003 のハードウェアおよびソフトウェア インベントリのクライアント エージェントを使用して取得された情報に基づいたレポートを作成する必要があります。

重要   ソフトウェア更新プログラムが提供されるすべての Microsoft セキュリティ情報は、その更新プログラムが MBSA で検出可能なことを示しています。たとえば、図 2.9 は、http://www.microsoft.com/japan/technet/security/bulletin/ms04-018.mspx で入手できる MS04-018 セキュリティ更新プログラムの「よく寄せられる質問」セクションのスナップショットを示しています。

セキュリティ情報の「よく寄せられる質問」セクションの例

図 2.9   セキュリティ情報の「よく寄せられる質問」セクションの例拡大表示する

図 2.10 に、これまで説明してきたことについてのディシジョン ツリー フローチャートを示します。

新しいソフトウェア更新プログラムの識別に MBSA 1.2.1 を使用するためのディシジョン ツリー フローチャート

図 2.10   新しいソフトウェア更新プログラムの識別に MBSA 1.2.1 を使用するためのディシジョン ツリー フローチャート拡大表示する

Microsoft Baseline Security Analyzer で検出されない更新プログラムの識別

SMS 2003 と SMS 2003 SP1 では、MBSA をソフトウェア更新プログラム管理機能のためのスキャン ツールとして使用するため、更新プログラムが SMS に報告されるためには MBSA でサポートされていることが必要です。MBSA でサポートされていない更新プログラムについては、次の KB の手順を使用して特定の更新プログラムを必要とするコンピュータを識別し、SMS 2003 内にクエリ ベースのコレクションを構築します。KB 867832「How to distribute software updates that are not detected by MBSA in SMS 2003」に説明されている手順に従ってください。


**
**