TechNet ホーム > 更新プログラム管理 > 計画と査定 : 概要

計画と査定 : Systems Management Server (SMS) の使用

ステップ 1 : インベントリを取得する/既存のコンピュータ資産を探索する

更新管理の自動化の観点から言うと、管理対象のシステムと管理対象外のシステムという 2 種類のインベントリ対象があります。SMS などの管理ツールを使用して管理されるシステムは管理対象のシステムに分類されます。機能するエージェント持たないシステム、または管理の自動化から意図的に排除されているシステムは管理対象外のシステムと見なされます。管理対象外のシステムには、次のようなものがあります。

セキュリティ システム、外部ホストと境界ネットワーク (DMZ、緩衝地帯、スクリーンド サブネットとも呼ばれます)、およびテストや開発などの特定の環境内の既知のシステム

スタンドアロン コンピュータ

管理対象外の資産でもパッチ管理での対応は必要となります。それらのシステムに最新のソフトウェア更新プログラムがインストールされていることを確認する必要があります。この作業の実行には、コンピュータ管理者の助けが必要な場合もあります。また、場合によっては、Microsoft Windows Update によってそうしたシステムにソフトウェア更新プログラムを展開するのが最も効率的なこともあります。

スタンドアロン コンピュータまたは管理下にあるドメインのメンバではないコンピュータに対するニーズを特定することは容易ではありません。これらの管理対象外のクライアントに対するローカルの管理者権限なしで、コンピュータ名や IP アドレスを介してシステム情報を収集するのは非常に困難な作業となります。ただし、次の基本的な情報が環境内の管理対象外のクライアントを識別する基礎として利用できます。

メモ   Microsoft Windows を実行しているシステムでは、Microsoft Baseline Security Analyzer (MBSA) を使用すると、スキャンできないコンピュータの名前と IP アドレスが報告されます。

*
トピック
収集が必要な情報について収集が必要な情報について
インベントリおよび監査の実行インベントリおよび監査の実行
環境ベースラインの設定環境ベースラインの設定

収集が必要な情報について

効果的なパッチ管理には、運用環境内にどんなハードウェアとソフトウェアが展開されているのかについて正確で最新の知識が必要です。この情報なしでは、環境内のどのコンピュータにソフトウェア更新プログラムが必要なのかを決定できません。また、クライアント コンピュータがネットワークに接続されている方法を識別することも重要です。低速または信頼性の低いリンク経由で接続したり、ダイヤルアップ機能などのリモート アクセスを使用したりしている場合、ソフトウェア更新プログラムの配布やインストールを行う方式は、高速で信頼性の高いネットワークに接続されているコンピュータの場合とは異なったものになります。

以下のセクションでは、効率的なパッチ管理を行うために、運用環境内に展開されているコンピュータから取得することが必要な情報の概略を示します。必要な情報を取得する手順には、次のことが含まれます。

ハードウェアの種類とバージョンを特定する。

オペレーティング システムの種類とバージョンを特定する。

アプリケーションとミドルウェアを特定する。

役割を識別する。

接続方法を把握する。

インストール済みおよびインストールされていないソフトウェア更新プログラムを特定する。

ハードウェアの種類とバージョンを特定する

コンピュータが携帯可能 (モバイル クライアント) かどうか、デスクトップ、またはサーバーかどうかを把握しておくと、管理者が特定のソフトウェア更新プログラムのインストールが必要かどうかを判断するのに役立ちます。たとえば、サーバーにソフトウェア更新プログラムを適用する場合、機能停止期間 (変更とコンピュータの再起動を認める特定の時間枠) を監視することや、更新プログラムを展開する前にサーバーが確実にバックアップされるようにすることが必要な場合があります。

SMS を使用すると、特定の機能停止期間内にソフトウェア更新プログラムを適用できるサーバーを収集するコレクションを作成して、通常の業務時間中に更新プログラムがインストールされないことを保証できます。サーバーと適用する機能停止期間の一覧を格納するデータベースを作成する場合、必要なコレクションを自動的に作成するプログラムを作成できます。コレクション作成の詳細については、Systems Management Server 2003 Software Development Kit (http://www.microsoft.com/downloads/details.aspx?FamilyId=A730F816-1028-4105-9263-E6CCCC77DE03&displaylang=ja) を参照してください。

SMS 2003 ハードウェア インベントリのクライアント エージェントが収集する既定の情報は、ポータブル (携帯型) コンピュータをその他の種類のコンピュータから識別するのに十分です。ただし、コンピュータの種類や機種名を明確に識別できる単一またはグループの属性はありません。

オペレーティング システムの種類とバージョンを特定する

管理者は運用環境に展開されているすべてのオペレーティング システムの種類とバージョンを把握しておく必要があります。MBSA はインストールされていないセキュリティ更新プログラムとサービス パックについて報告し、Microsoft Windows Server 2003、Windows XP、Windows 2000 Server、および Windows NT 4.0 のインストールの脆弱性を特定します。また、コンピュータ構成が一般的なセキュリティに関するベスト プラクティス (強力なパスワードなど) に適合しているかどうかについても報告します。

Windows XP SP2 を実行し、SMS 2003 または SMS 2003 SP1 を使用しているコンピュータの評価に関する特別な考慮事項

管理者は、Windows XP Service Pack 2 (SP2) が厳格なセキュリティ ポリシーを適用することに留意する必要があります。Windows XP SP2 の既定の構成設定を変更する方法については、Windows XP SP2 のオンライン ヘルプのドキュメントを参照してください。

この他に、特定の DCOM に関する制限が XP SP2 クライアント コンピュータに適用され、SMS 2003 や他の管理ツールが Windows XP SP2 を実行しているコンピュータにアクセスすることが制限されることがあります。

Windows XP SP2 ベースのクライアント コンピュータ上で SMS 2003 の機能に影響を与える可能性のある問題の一覧については、SMS の「クライアントについてよく寄せられる質問」(http://www.microsoft.com/japan/technet/prodtechnol/sms/sms2003/techfaq/tfaq03.mspx) を参照してください。

Windows XP SP2 リソースの関連情報については、「Windows XP Service Pack 2 セキュリティ強化機能搭載 IT プロフェッショナルのためのリソース」(http://www.microsoft.com/japan/technet/prodtechnol/winxppro/maintain/winxpsp2.mspx) を参照してください。

アプリケーションとミドルウェアを特定する

オペレーティング システムの種類とバージョンと同様に、管理者は展開されているすべてのソフトウェア アプリケーションとそのバージョンを把握しておく必要があります。SMS 2003 のハードウェア インベントリのクライアント エージェントを使用すると、コントロール パネルの [プログラムの追加と削除] に一覧表示されているインストール済みのすべてのアプリケーション、サービス パック、およびソフトウェア更新プログラムについての情報を収集できます。

[プログラムの追加と削除] に登録されていないアプリケーションについては、SMS 2003 のソフトウェア インベントリのクライアント エージェントを使用して、クライアント コンピュータにインストールされているインベントリ対象のアプリケーションの特定の実行可能 (.exe) ファイルについての詳細情報を入手してください。その際、このインベントリを分析してどの製品が実際にインストールされているかを判断する作業が必要になります。一般的には、ソフトウェア インベントリは運用環境のすべてのコンピュータに対して、1 週間ごとに実行されるように構成することをお勧めします。ただし、このスケジュールは組織の要件とポリシーによって異なります。

場合によっては、.exe ファイルに加えて特定の .dll ファイルをインベントリすることがあります。クライアント コンピュータ上のすべてのファイルをインベントリする場合、ソフトウェア インベントリは低速で負荷の高い処理となる可能性があります。このため、管理者はインベントリの必要なファイルおよびそのスケジュールについて慎重に検討することが必要です。

このバージョンのパッチ管理ガイダンスには、以下のアプリケーションの情報をユーザーが評価する際に役立つサンプル スクリプトが含まれています。

Microsoft SQL Server 2000

Microsoft Virtual Server 2005

Microsoft Virtual PC 2004

Microsoft Office 2000、Office XP、および Office 2003

SQL Server 2000 を評価するサンプル スクリプトは SMS 2003 とは無関係に実行されるので、管理者はサーバーおよびデスクトップのオペレーティング システムを実行しているコンピュータ上の SQL Server 2000 インストールに対して、IT 環境をスキャンできます。これらのスクリプトが、SMS 2003 と SMS 2003 SP1 で管理されるコンピュータ、および SMS で管理されないコンピュータに関するどの評価レポートを管理者に提供するかを示す値を指定して、これらのスクリプトを実行します。これにより、スクリプトは SMS で管理されないコンピュータに関する MBSA スキャンを実行して、脆弱性評価レポートを提供することで、SMS を補完し、管理対象外の領域のコンピュータに到達します (Virtual Server 2005 および Virtual PC 2004 用のサンプル スクリプトも同様に動作します)。これらのスクリプトの詳細については、スクリプトに付属する次のガイドを参照してください。

Updating Microsoft Virtual Computer Environments Using SMS 2003 Technical Appendix (英語)

Updating Microsoft Office Environments Using SMS 2003 Technical Appendix (英語)

Updating Microsoft SQL Server Using SMS 2003 Technical Appendix (英語)

Office インストールについては、SMS 2003 および SMS 2003 SP1 はインストール元のパス、インストールされた日付、さまざまな Office コンポーネントの言語バージョンは報告しません。このガイダンスに付属する「Updating Microsoft Office Environments Using SMS 2003 Technical Appendix」 (英語) には、サンプルの自動化スクリプトとコンポーネントが含まれており、既存の Microsoft Office インストールのコンポーネント レベルでの詳細情報をキャプチャするように、SMS 2003 または SMS 2003 SP1 のハードウェア インベントリ (HINV) を拡張できます。SMS 2003 HINV は、Office インストールに関する以下の補足情報を報告するように拡張されます。

Office 2000、Office XP、および Office 2003 の Office コンポーネント レベルのバージョン番号

上述のコンポーネントをインストールしたスイート

コンポーネントとスイートのインストール元のパス

コンポーネントがインストールされた日付

コンポーネントの言語バージョン コード

図 2.2 は、Office 用の Technical Appendix に付属するサンプル スクリプトを使用して収集された情報によって生成された、拡張されたハードウェア インベントリの例です。

拡張されたハードウェア インベントリの例

2.2   拡張されたハードウェア インベントリの例

拡大表示する

詳細については、このガイドに付属する Updating Microsoft Office Environments Using SMS 2003 Technical Appendix (英語) を参照してください。

役割を識別する

コンピュータの役割を識別することが必要不可欠です。ソフトウェア更新プログラムの展開後にコンピュータを再起動したときの影響を理解するために、管理者がこの情報を必要とするためです。たとえば、次のようなケースがあります。

コンピュータがビジネスに不可欠なアプリケーションを実行している場合、ビジネスへの影響が最小になる期間にソフトウェア更新プログラムのインストールをスケジュールし直すことが必要なことがあります。また、ビジネス継続性のための調整も必要なことがあります。たとえば、サーバーを再起動している間、ユーザーがアプリケーションを継続して利用できるようにします。

コンピュータが 1 つ以上のマスタの役割 (FSMO (Flexible Single Master Operations) とも呼ばれます) 役割を保有するドメイン コントローラの場合、コンピュータが更新されている間、それらの役割をドメイン内の他のドメイン コントローラに移動する必要があります。正常に再起動したら、役割を元のコンピュータに復元して戻します。

接続方法を把握する

ネットワーク インフラストラクチャの配置、その機能、セキュリティ レベル、リンク速度、およびリンクの可用性を把握することは、更新プログラムの効果的な適用にとって重要です。ソフトウェア更新プログラムのサイズはさまざまです。ネットワーク インフラストラクチャの制限を把握しておくと、ソフトウェア更新プログラムの配布における遅延を減少できる可能性があります。また、ソフトウェア更新プログラムが特定のクライアント コンピュータに展開される方法を指定することもできます。Microsoft SMS ネットワーク探索を使用すると、ネットワーク トポロジとネットワークに接続されているデバイスに関する情報を入手できます。SMS の詳細については、SMS 2003 製品ドキュメント Web サイト (http://www.microsoft.com/japan/smserver/default.mspx) を参照してください。

インストール済みおよびインストールされていないソフトウェア更新プログラムを評価する

コンピュータにインストール済みまたはインストールされていないソフトウェア更新プログラムの識別は、必要不可欠です。SMS 2003 では、特定のサーバーおよびデスクトップでインストールされていないソフトウェア更新プログラムを識別するメカニズムが用意されています。

必要なソフトウェア更新プログラムを評価する

管理者は、SMS 2003 のソフトウェア更新プログラム管理機能で提供される Security Update Inventory Tool を使用して、1 組のクライアントにインストールが必要なソフトウェア更新プログラムについて報告するように SMS ハードウェア インベントリを拡張できます (図 2.3 参照)。SMS 2003 クライアントは、インストールされている更新プログラムを、Microsoft Update Web サイトからダウンロードされた XML (拡張マークアップ言語) ファイルに含まれる利用可能なソフトウェア更新プログラムの一覧と比較します。

セキュリティ更新プログラム情報の SMS データベースへの追加

2.3   セキュリティ更新プログラム情報の SMS データベースへの追加
拡大表示する

Security Update Inventory Tool のインストール ルーチンでは、Microsoft Update Web サイトから最新のソフトウェア更新プログラム カタログ (Mssecure.cab) ファイルをダウンロードする定期的な提供情報 (7 日ごとに実行) も作成されます。ダウンロードの完了後に、すべてのクライアント システムのコレクションを対象にした新しい提供情報をサイト サーバーが自動的に作成します。この提供情報は、最新のソフトウェア更新プログラム カタログ ファイルを使用した更新のために Security Update Inventory Tool を実行します。

メモ   SMS 2003 Security Update Inventory Tool は、インストールされていないサービス パックについては報告しません。SMS のハードウェアおよびソフトウェア インベントリのクライアント エージェントを使用して、現在インストールされているサービス パックを探索する必要があります。組織に最新のサービス パックを適用してそれ以降更新を継続することは、いつの時点においてもお勧めします。この他に、セキュリティ更新プログラム レポートは現在のサービス パックのリビジョンのみに基づきます。たとえば、現在のサービス パックが SP1 の場合、SP2 に関連したソフトウェア更新プログラムについてはレポートに表示されません。

必要なソフトウェア更新プログラムを評価する

管理者は、SMS 2003 のソフトウェア更新プログラム管理機能で提供される Microsoft Office Inventory Tool for Updates を使用して、Office のインストールを最新に保つために必要なソフトウェア更新プログラムについて報告するように SMS ハードウェア インベントリを拡張できます。図 2.4 に示されているように、クライアント コンピュータは Security Update Inventory Tool と同様の処理で、インストールされているコンポーネントを最新の Office 更新データベース (Invcif.exe) ファイルの内容と比較します。

Office 更新プログラム情報の SMS データベースへの追加

2.4   Office 更新プログラム情報の SMS データベースへの追加
拡大表示する

メモ   Office Inventory Tool for Updates は Office 更新データベース (Invcif.exe) を使用する Office 更新ツール (Invcm.exe) を使用して、適用可能な Office 更新プログラムについてクライアント コンピュータを分析します。Office 更新ツールで収集されたデータは、次に SMS サイト データベースと互換性のある形式に変換されます。Office Update Sync Tool はこのツールの最新バージョンを定期的にダウンロードし、SMS 配布ポイントを使用してエンタープライズ内のコンピュータに配布します。Microsoft Office 更新ツールの詳細については、http://support.microsoft.com/?kbid=312982 (英語) を参照してください。

インベントリおよび監査の実行

監査は、これまで説明したツールを使用してベースラインを決定する前に、運用環境の正確な記録を入手して把握するのに役立ちます。その時点までの監査の記録を、運用環境に関する情報を追跡するための組織の中央リポジトリに追加することをお勧めします。これにより、二重の参照ポイントを提供することで、監査の正確性が保証され、リポジトリの更新が確実に行われます。監査結果とリポジトリの記録の間で不一致があれば、調査のためにその情報を問題管理チームに提出してください。問題管理チームのメンバは、情報の記録における問題点を特定し、将来同様の問題が発生しないように、必要に応じて対策を取るよう努めます。

環境内に存在するものについての正確で最新の情報は、パッチ管理に必要不可欠です。管理者は、パッチ管理の作業と活動を支援するために、SMS データベースの情報を使用する前に、監査が完了していることを確認する必要があります。

監査が正常に行われたかどうかをチェックする最初のステップは、Microsoft Office Inventory Tool for Updates と SMS 2003 の Security Update Inventory Tool が正常に実行されたことを確認することです。これを行うには、SMS 管理者が提供情報のステータス メッセージをチェックして、エラーがなかったかどうかを調べます。両方の Update Inventory Tool が実行されなかった SMS クライアント コンピュータについては、問題管理チームに報告してください。

スキャン ツールが正常に実行されたことが確認できたら、管理者は次に、各 SMS クライアントに関するハードウェアとソフトウェアのインベントリのステータスをチェックします。この目的の達成には、ハードウェアおよびソフトウェア インベントリのクライアント エージェントがインストールに失敗したか、または所定の時間内に実行することに失敗した SMS クライアント コンピュータを一覧表示する Web レポートを作成します。1 つの例として、SMS 2003 の [ソフトウェアの更新 - インフラストラクチャの状態] カテゴリの [指定された提供情報のソフトウェアの更新エラー メッセージを返したコンピュータ] レポートを使用できます。このレポートに表示されるすべてのコンピュータは、問題管理チームが参照する必要があります。

スキャン ツールの高速バージョンに対する提供情報を作成すると、インストールされていない更新プログラムのスキャンが完了した後にハードウェア インベントリが実行されるように強制できます。既定では、これらのツールで取得された情報は、スケジュールされた次のハードウェア インベントリ サイクルで SMS サイト サーバーに報告されます。

インベントリ データの完全性を分析する

インベントリ情報を受信したら、管理者はその完全性をチェックし、すべての管理対象のコンピュータが最新のインベントリを報告したことを保証できるようにします。インベントリ データについて次の作業を実行してください。

インベントリ結果を前回のものと比較し、検出されたコンピュータ数の増減について記述します。前回実行したインベントリと比較して大幅な増減があった場合、完全性に問題がある可能性があります。

インベントリ結果を Active Directory ディレクトリ サービス ドメインのコンピュータ オブジェクト (コンピュータ アカウント) についても比較します。無効なアカウントが消去されていれば、この比較は次の箇条書き項目で述べている名前解決サービスとの比較と同じように有効です。

稼働中のシステムは、環境内で Windows インターネット ネーム サービス (WINS) やドメイン ネーム システム (DNS) という名前解決サービスを登録して使用します。これらのサービスのようなアクティブなインフラストラクチャに対して相互参照を行うスクリプトは、パッチ管理のためのインベントリがどのように揃っているかを包括的に示します。無効なレコードの清掃処理またはクリーンアップを名前解決サーバーで有効にして、より正確な結果を確実に取得できるようにしてください。

分析によって返された情報に不一致が発見された場合、調査を進め原因を特定して、SMS インベントリで取得できなかったシステムが SMS データベースに確実に追加されるように対策を取ります。

環境ベースラインの設定

ベースラインは、特定の時点において確立される、製品またはシステムの文書化された 1 組の構成です。ベースラインは同一のクラスおよびカテゴリのシステムが一致することを求める標準を確立します。効果的な IT 運用では、ベースラインをシステムが構築され展開される信頼されたポイントとして使用します。通常、ベースラインで定義された構成は厳密にテストされベンダにより認定されます。

アプリケーションやソフトウェアのベースラインは、システムを望ましい状態に再構築するために必要な情報を提供します。さまざまなソフトウェア アプリケーション、ハードウェア ベンダ、またはコンピュータの種類に対応するベースラインを確立する必要があります。

ベースラインの確立には、環境内のコンピュータとサービスの正確なインベントリの実行と維持が必要です。環境のためのベースラインを確立するときは、以下の点に留意してください。

ベースラインの基準に達しないインフラストラクチャは、問題管理によって対処される必要があります。ベースラインの基準に達しないことが判明したすべてのコンピュータは、ベースラインに適合させることが必要です。それらのコンピュータは、配布、スケジュール、アクセス許可に関して問題があるか、例外処理に特殊な注意が必要な可能性があります。

ベースラインの基準を上回ることによる利点は必要ありません。クラスのベースラインを上回るコンピュータについては、未許可の変更がなされていないかチェックして判定します。場合によっては、システムを信頼されたレベルに戻すことが必要であったり、変更を据え置くことが適切であったりすることもあります。承認されたベースラインを上回るシステムには、相互運用性に対してテストされておらず、正式には IT 運用および IT セキュリティ部門によって承認されていないアプリケーションのバージョンやソフトウェア更新プログラムが含まれている場合があります。

システムによっては、該当するクラスのベースラインから除外される特殊な状況がある場合があります。たとえば、モデムを介して処理業者に接続する従来の給与アプリケーションを実行する旧式のワークステーションでは、確立されたベースラインを大幅に下回るオペレーティング システムのレベルが必要なことがあります。従来のアプリケーションが動作しなくなる可能性があるため、このシステムを最新のベースラインにアップグレードすることは妥当ではない場合があります。


**
**