Insider's Eye「信頼できるコンピューティング」への長い道のり(2)
|
 |
|
デジタルアドバンテージ 小川誉久 |
|
そしてTrustworthy Computing、Windows Security Pushへ
そして2002年1月15日、ビル・ゲイツ氏より、マイクロソフトの全社員向けに発信されたメールの表題が「Trustworthy Computing」である。このメールは、2年前の.NET戦略のアナウンスに続いて全社員向けに送られたメッセージで、この中でゲイツ氏は「.NETを信頼できるコンピューティングのプラットフォームとして位置付けることが、あらゆる仕事よりも重要であることが明らかになった。(Over the last year it has become clear that ensuring .NET is a platform for Trustworthy Computing is more important than any other part of our work.)」と述べ、マイクロソフト製品の信頼性を高めることが、最高度のプライオリティであると力説している。つまり「Trustworthy Computing」は、自社製品の信頼性を高めるあらゆる活動、つまりこれまでに述べたSWIやSTPPの双方を包含するスローガンである。
このゲイツ氏のメッセージを受けて、マイクロソフトは、2002年2月から1カ月にわたり、新規の開発作業を全面的に停止して全社を総動員し、既存製品のコードに潜むセキュリティ・ホールを洗い出し、これに対処するための防御策や初期設定などを調査した。このキャンペーンは「Windows Security Push」と呼ばれた。
セキュリティ関連ツールの提供
セキュリティ関連ツールとしては、次の3種類が無償提供される予定である。
| ツール名 | 日本語版提供時期 | 機能 |
| HFNetChk | 公開済み | システムにまだインストールされていない修正プログラムのリストアップ(コマンドライン) |
| Baseline Security Analyzer(MBSA) | 2002年夏ごろ | HFNetChkの機能を包含し、システムの脆弱性調査などの機能をひとまとめにしたGUIツール |
| Software Update Services(SUS) | 2002年夏まで | 企業の管理者が、社内のクライアントに対してプッシュ形式でWindows Updateモジュールを適用可能にするツール |
このうちHFNetChkは、修正プログラムの最新情報を記述したXMLファイルと、システムに適用されている修正プログラムを比較して、まだ適用されていない修正プログラムについてレポートするコマンドライン・ツールで、すでにマイクロソフトのサイトで公開されている(マイクロソフトのHFNetChkの情報ページ)。HFNetChkツールの使い方については、別稿「Windows TIPS:セキュリティ・パッチの適用状態を調べる(HFNetChkツールの使用法)」で詳しく解説しているのでそちらを参照されたい。
Microsoft Baseline Security Analyzer(MBSA)は、HFNetChkの機能を包含し、さらにシステムの脆弱性を調査する機能(パスワードなしのアカウントがあるか、ファイルシステムは安全なNTFSを使っているかなど)をまとめたGUIツールである。現時点では英語版のMBSA 1.0みが公開されており、日本語環境では正しく使えないが、日本語環境に対応したVer.2.0を夏ごろに公開する予定だとしている(MBSAに関する日本語の解説ページ)。このMBSAについては、英語版をもとに、次で詳しく見てみることにしよう。
マイクロソフトは、インターネットを介して、クライアント・コンピュータに修正モジュールなどを提供するためのWindows Updateを運用している。最新モジュールが公開されるとそれがユーザーに通知され、ユーザーが許可すれば、インターネットからモジュールをダウンロードしてシステムに適用するというものだ。これを使えば、Windowsシステムをいつでもほぼ最新の状態に保つことができる。
しかし個人ユーザーはこれでもよいのだが、企業ユーザーはおいそれとWindows Updateを使えない事情がある。1つは、Windows Updateを利用した修正モジュールの適用では、コンピュータに対する管理者権限が必要だということだ。専任の管理者が存在する企業では、ユーザーは非管理者権限でコンピュータを利用しているのが一般的である。また仮にユーザーが管理者権限を持っていたとしても、管理者のあずかり知らないところで、ユーザーが勝手にWindows Updateで環境を変更することには問題がある。たとえそれによってセキュリティ問題が解消し、システムが最新の状態になるといっても、更新によってシステムが不安定になったり、業務プログラムが動かなくなったりする可能性があるからだ。またユーザーごとに環境がバラバラでは、障害の原因を発見するのも、問題を解決するのも非常に困難になる。
これに対し、Windowsネットワークの管理者が、Windows Updateの修正プログラムを集中管理しながら、クライアントにプッシュ形式で適用可能にするツールがSoftware Update Services(SUS)である。こちらはまだ英語版も公開されていないので、どのようなものか試すことはできないが、マイクロソフトの説明によれば、管理者がWindows Updateのプログラムをマイクロソフトのサイトからダウンロードし、そのうちどれを自社のクライアントに適用するかを吟味したあと、管理用のコンソールからクライアントに対して、リモートからプッシュ形式での修正プログラムの適用を可能にするというものらしい。大規模なシステムを想定して、SUSには、一度入手してSUSで管理している修正プログラムを、社内にある別のSUSと共有する機能も提供される。
ただしSUSで適用できるのは、Windows Updateレベルの修正プログラムに限られるようだ。こちらは夏までには公開予定とのことである。
MBSAを使ってみる
Microsoft Baseline Security Analyzer(MBSA)は、HFNetChkの機能を包含し、さらにシステムの脆弱性を調査する機能も付加した、GUIベースのセキュリティ検査ツールである。すでに英語版のMBSAは提供が開始されているが(英語版MBSAに関する解説ページ)、日本語版に関しては、夏ごろの公開予定となっている(MBSAに関する日本語の解説ページ)。日本語Windows上で英語版を使用すると、修正プログラム(HotFix)の適用情報を間違えて報告したり、セキュリティ設定に関する不正確な警告が出たりする。
MBSAは、CUIで利用できるHFNetChkと同様に、修正プログラムの必要性などを調査するためのツールである。実際MBSAのコア部分にはHFNetChkと同じものが使われており、XMLデータベース形式で記述された修正プログラム情報を参考にして、システムにおける修正プログラムの適用状態などを検査することができる。しかしMBSAの機能はそれだけではなく、システムのセキュリティ設定の調査(例:空パスワードのアカウントがあるとか、IEのゾーン設定が不適切など)や、修正プログラムが正しく適用されたかどうかのチェックも行うことができる。またGUIベースで簡単に多数のシステムを調査したり、望むならCUIベースでコマンド・ラインから使ったりすることもできるという、総合的なツールになっている。ただし、修正プログラムなどに関しては、その必要性の調査はできるが、実際に修正プログラムを適用してくれるわけではない。これについては従来通りに管理者が適用するか、先に述べたSoftware Update Services(SUS)などを使う必要がある。
MBSAで調査できるシステムやソフトウェアは以下の通りである。Windows 9xやMeを対象とすることはできないが、SQLやOfficeアプリケーションなどは含まれている。
| 対象ソフトウェア |
| Windows NT 4.0/Windows 2000/Windows XP |
| IIS 4.0、IIS 5.0 |
| SQL Server 7.0、SQL Server 2000 |
| Internet Explorer 5.01以降 |
| Office 2000/Office XP |
| Outlook 2000/Outlook 2002 |
 |
| MBSAの調査対象となるシステム |
以下に実際にMBSAを適用した場合の例を示しておく。ツールを起動すると、最初は調査対象となるシステムを選択する。単一のマシンを調査するだけでなく、ドメインやIPアドレスの範囲を指定して、複数のシステムを調査することができる。
 |
| MBSAの使用例 |
| これは英語版Windows 2000 Server上でMBSAを使った例である。大きな赤い×印のところには、その項目に関する修正プログラムの適用状態などに関する情報が表示されている。表示されている情報としては、「何を調査したか」「調査した結果は?」「不具合を解消するにはどうすればよいか」の3種類があり、それらをクリックするとより詳細な情報が表示される。例えば「Windowsの修正プログラムが適用されているかどうかを調査した」「MS02-001、MS02-002が未適用であった」「これらの修正プログラムをインストールすること」などという情報が得られる。Windowsシステムの修正プログラム以外にも、セキュリティ設定の脆弱性(例:Administrators権限のアカウントが複数あるとか、パスワードの文字数制限が緩いなどという警告)や、SQL Serverの空パスワードが有効になっているなど、Windows以外のシステムに関する警告なども表示される。 |
調査結果には×印やチェック・マーク、警告マークなどが付けられ、リンクをクリックすればより詳細な情報が表示される。表示されている情報としては、「何を調査したか」「調査した結果は?」「不具合を解消するにはどうすればよいか」の3種類がある。そこにはセキュリティ情報ページや修正プログラムのダウンロード・ページへのリンクなどが含まれている。また、これらの結果は保存しておいて、あとで簡単に参照することもできる。
 |
| INDEX | ||
| Insider's Eye | ||
| 「信頼できるコンピューティング」への長い道のり(1) | ||
 |
「信頼できるコンピューティング」への長い道のり(2) | |
 |
||
 |
「Insider's Eye」 |
- Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる (2017/7/27)
AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう - Azure Storage ExplorerでStorageを手軽に操作する (2017/7/24)
エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう - Win 10でキーボード配列が誤認識された場合の対処 (2017/7/21)
キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう - Azure Web AppsでWordPressをインストールしてみる (2017/7/20)
これまでのIaaSに続き、Azureの大きな特徴といえるPaaSサービス、Azure App Serviceを試してみた! まずはWordPressをインストールしてみる
 |
|
|
|
|
注目のテーマ
Windows Server Insider 記事ランキング
転職/派遣情報を探す
