TechNet ホーム > 更新プログラム管理

識別 : Systems Management Server (SMS) の使用

ステップ 2 : ソフトウェア更新プログラムの運用環境への適合性を判断する

多数のソフトウェア更新プログラムが IT 運用コミュニティに定期的にリリースされています。これらの提供元はさまざまで、潜在的なセキュリティの侵害を引き起こす可能性のある問題への対処など、多くの理由から作成されています。すべてのソフトウェア更新プログラムは、組織の IT インフラストラクチャに対する適合性について徹底的にチェックする必要があります。通知に 2 つ以上のソフトウェア更新プログラムに関する情報が含まれている場合、それぞれについて個別に、組織に対する適合性をチェックする必要があります。ここで概要を説明するスクリーニング処理は、適合しないソフトウェア更新プログラムの大部分を除外しますが、それ以上の働きをする場合もあります。

適合性チェックの最初のステップは、ソフトウェア更新プログラムが運用環境で実行しているオペレーティング システムやアプリケーションに対処するように設計されているかどうかを判断することです。

ソフトウェア更新プログラムが運用環境内のソフトウェアに適用可能であることが判明したら、次の問題は、ソフトウェア更新プログラムが対処するように設計されている脆弱性が、環境内のアプリケーションやシステムに存在するかどうかということです。たとえば、ASP を有効にしたインターネット インフォメーション サービス (IIS) を実行するすべての Windows Server 2003 オペレーティング システム向けに設計されたセキュリティ更新プログラムがあります。環境内にいくつかの Windows Server 2003 オペレーティング システムが含まれていても、組織内の IIS サーバー上で ASP を有効にしていない場合、セキュリティ更新プログラムには環境との適合性はありません。

環境内のソフトウェアに適用可能なセキュリティ更新プログラムが、すべて適合性があるわけではありません。既存のセキュリティ更新プログラムに対する認識と内容の把握は重要ですが、環境に適合するセキュリティ更新プログラムだけを展開すると、環境をセキュリティ保護し最新の状態を維持するために必要な作業を最小限に抑えることができます。

ソフトウェア更新プログラムの内容が環境に適合しないと判断された場合でも、その情報自体は問題管理担当者に転送され、組織内で保持されることが重要です。後で適合し必要となったときに、組織は一次資料からこの情報にアクセスできます。

IT インフラストラクチャへのソフトウェア更新プログラムの適用可能性を判断するために使用できるいくつかのスクリーニング方法を、次に示します。

セキュリティ情報と KB 文書の参照

個々のソフトウェア更新プログラムの確認

SMS ソフトウェア更新プログラム管理機能の使用

SMS レポートの使用

*
トピック
セキュリティ情報と KB 文書の参照セキュリティ情報と KB 文書の参照
個々のソフトウェア更新プログラムの確認 個々のソフトウェア更新プログラムの確認
SMS ソフトウェア更新プログラム管理機能の使用SMS ソフトウェア更新プログラム管理機能の使用
SMS レポートの使用SMS レポートの使用
ソフトウェア更新プログラムを適用する時期の決定ソフトウェア更新プログラムを適用する時期の決定

セキュリティ情報と KB 文書の参照

最初の通知とその後のセキュリティ情報や関連するサポート技術情報 (KB) の参照で得られた情報は、ソフトウェア更新プログラムの組織への適合性を判断するのに役立ちます。

Microsoft Web サイトのセキュリティ情報は、記述されている脆弱性が環境にどの程度重要かを判断する際に役立つように分類されています。「概要」セクションに特に注意を払ってください。

セキュリティ情報の「概要」セクションの簡潔な説明を読むと、情報全体の内容を綿密に読まなくても、脆弱性が環境にもたらす可能性のある潜在的な影響に対する評価を簡単に行うことができます。概要では、悪用の種類の明示、影響を受けるソフトウェアの一覧表示、推奨する対応策の提示が行われます。要約セクションを確認した後で、セキュリティ情報のその他のセクションを早急に詳細に確認する必要があるかどうかを判断できます。

高度な適合性チェックを使用すると、環境内の脆弱性によって影響を受ける可能性があるコンピュータを切り離すことができます。これを行うには、セキュリティ情報内の影響を受ける製品の一覧を確認し、SMS で利用可能なインベントリ データにアクセスします。

たとえば、SMS 2003 では次の製品について既定のコレクションを用意しています。

Windows 2000 Professional

Windows 2000 Server

Windows XP

Windows 98

Windows NT 4.0

Windows Server 2003

上記の項目に加えて、Microsoft Security Response Center (MSRC) では、最大深刻度システムを導入して、更新プログラムが組織にとってどの程度重要であるかを迅速に判断することを支援しています。こうしたランク付けは脆弱性の潜在的な影響に基づき、必要な対応の緊急度をユーザーに知らせることを目的としています。ただし、このランク付けだけが更新プログラム展開を実行するかどうかを判断するときに使用される唯一の基準というわけではありません。

テクノロジ面から見たソフトウェア更新プログラムの適合性の判断は、どんな環境においても大きな課題となる可能性があります。クライアントまたはサーバーにインストール可能な Microsoft Data Engine (MSDE) や IIS などのテクノロジは、ソフトウェア更新プログラムが環境内の特定のコンピュータの集合に適合している場合、適合性の判断がむずかしくなります。このことは、環境のできるだけ正確なインベントリを維持することの重要性を強調するものです。

セキュリティ情報リリース プロセスの詳細については、「セキュリティ情報リリース プロセスの改定」(http://www.microsoft.com/japan/technet/security/bulletin/revsbwp.mspx) を参照してください。

個々のソフトウェア更新プログラムの確認

通知内の各ソフトウェア更新プログラムについては、詳細で徹底した確認が必要です。この確認には、ソフトウェア更新プログラムに付属したものを含むすべてのドキュメント、および Microsoft TechNet Web サイトなどから入手できる関連情報を含めます。

適用可能なソフトウェア更新プログラムを識別する電子メールメッセージを受信したら、その調査に当たる担当者を指名することが必要です。このチーム メンバがソフトウェア更新プログラムの所有権を保持します。確認担当者は関連するサポート技術情報 (KB) を参照して、ソフトウェア更新プログラムによって何が修正されるかを理解する必要があります。

ソフトウェア更新プログラムは、特定のシナリオまたは構成のみを適用対象としている場合があります。確認担当者は運用環境に展開されているシナリオまたは構成が、サポート技術情報 (KB) の内容に対応するものかどうかを確認します。この情報の取得には、SMS クエリや Web レポートの作成が必要な場合があります。

たとえば、サポート技術情報 (KB) の文書で、ソフトウェア更新プログラムが必要な対象を 3 GB 以上のメモリを実装し、SQL Server を実行しているコンピュータと規定している場合、確認担当者は SQL Server を実行している任意のコンピュータがこの構成を持つかどうかを確認するクエリまたは Web レポートを作成する必要がある場合があります。ただし、セキュリティ更新プログラムについては、記述されているような現象が発生する前に、予防的な措置として適用することが必要な場合があります。

SMS ソフトウェア更新プログラム管理機能の使用

SMS 2003 ソフトウェア更新プログラム管理機能によって収集されたスキャン結果とレポートを使用して、ソフトウェア更新プログラムに関する範囲を特定した適用可能な情報を表示できます。図 2.11 では Microsoft Exchange 2000 に関連付けられたセキュリティ更新プログラムの 1 つが強調表示されています。[要求数] カラムの下の値は、環境内でこの更新プログラムを必要とするコンピュータの数を示します。[対応] カラムの下の値は、環境内で更新プログラムが既にインストールされているコンピュータの数を示します。たとえば、図 2.11 の SMS 2003 管理コンソールの [ソフトウェアの更新] ノードについては、Exchange 2000 更新プログラムが 1 台のコンピュータだけに必要であることが示されています。

SMS 管理コンソールの使用

図 2.11   SMS 管理コンソールを使用した、ソフトウェア更新プログラムの環境への適合性の判断
拡大表示する

SMS レポートの使用

SMS の [ソフトウェア ID ごとの対応] レポートでは、セキュリティ更新プログラムがインストール済みおよびインストールされていないコンピュータの総数、およびセキュリティ更新プログラムに関するステータスが提示されます。このレポートは、図 2.12 で示されているように、特定のセキュリティ更新プログラム (この図では、311967) の現在の適合性レベルを識別することに役立ち、環境に対する特定のセキュリティ更新プログラムの適用可能性を判断するための有用なツールです。

SMS 2003 の [ソフトウェア ID ごとの対応] レポート

図 2.12   SMS 2003 の [ソフトウェア ID ごとの対応] レポート
拡大表示する

ソフトウェア更新プログラムを適用する時期の決定

次に考慮が必要な問題は、適用可能で適合するソフトウェア更新プログラムを早急に適用する必要があるかどうかということです。ソフトウェア更新プログラムは直ちに適用することが必要な場合があります。たとえば、セキュリティ上の問題がある場合、ウイルス対策関連の更新が必要な場合、解決しなければならない問題や事案がある場合などです。これに対して、以上と同じ理由で、セキュリティ更新プログラムを予防対策として更新する場合があります。セキュリティ上の問題を予防するため、ウイルス対策関連ソフトウェアが最新のものであることを保証するため、他の組織から報告された事案や問題に対処するためなどです。

管理者がソフトウェア更新プログラムを直ちに適用する必要がないと判断した場合、そのソフトウェア更新プログラムと、IT インフラストラクチャに影響を与える可能性のある潜在的な問題の詳細や利用可能な対応策などの関連情報が、問題管理担当者に認識されるようにする必要があります。

テクノロジの要請によって、ソフトウェア更新プログラムが組織に対して適合し、適用する必要がある可能性があり、関連ドキュメントがチェック済みの場合、次のステップは、ソフトウェア更新プログラム自体を検証、または確認することです。次のセクションでは、ソフトウェア更新プログラムの検証に役立つ主要なガイドラインをいくつか示します。


**
**