パッチ管理、日本はまだこれから

Shavlik Technologies
チーフ・セキュリティ・アーキテクト

エリック・シュルツ氏

聞き手・文責:デジタルアドバンテージ
2004/12/16


MBSA 1.2の詳細
パッチ管理とは?
パッチはいかにして作られるか 
最新パッチ情報ディレクトリ 

 新しいセキュリティ修正プログラムがリリースされると、Windows Updateでシステムに適用できるようになる。最近では自動更新機能を使って、公開と同時に自動的に修正プログラムを適用できるようになった。この際Windows Updateは、現在コンピュータにどのソフトウェアがインストールされているか、どの修正は適用済みで、どの修正は未適用かを調査し、必要なアクションを決めている。このために使われているデータベース情報ファイルが「MSSECURE.XML」である。このファイルには、各修正プログラムごとに、適用可能なプラットフォームやサービスパックなどの情報のほか、修正プログラムが適用済みかどうかを調べたり、インストールしたりするための情報が含まれている。このファイルは修正プログラムの適用状況を調査するツール、MBSA(Microsoft Baseline Security Analyzer)でも利用されている。

 Windowsパッチ管理のルーツともいえる、このMSSECURE.XMLの原型を作ったのが、現在、米Shavlik社のチーフ・セキュリティ・アーキテクトとして活躍するエリック・シュルツ(Eric Schultze)氏だ。「米Microsoftに在籍していた2年間は、修正が出るたびにファイルを更新する毎日だった」とシュルツ氏。その後シュルツ氏はMicrosoftを離れ、現在のShavlik社に移籍、MSSECURE.XMLを独自に発展させ、より多数種のソフトウェアへの対応や、修正プログラムに対するより多くの情報を盛り込み、Shavlikが販売するパッチ管理ソフトウェア「HFNetChk Pro(エッチエフ・ネットチェック・プロ)」向けに提供している。「自分が離れて以来、Microsoft版のMSSECURE.XMLはだいぶ品質が落ちたんじゃないかな」。冗談めかしながらも、自信たっぷりに語った。

 HFNetChk Pro4日本語版は、2004年6月から発売が開始された(国内販売はネットワールド社)。まもなく発売予定の次バージョン、HFNetChk Pro5では、Ver.4では対応していなかったVisioやProjectなどのOfficeソフトウェア、BizTalkやCMS(Content Management Server)、HIS(Host Integration Server)などのサーバ・ソフトウェア、WinZipやApacheなどの非Microsoft製品にまで対応を広げる予定だ。

 またShavlik社は先ごろ、Linux向けのパッチ管理ソフトウェアを開発したGibraltar Software(ジブラルタル・ソフトウェア)社を買収した。「今後はLinux対応も進め、1つのコンソール画面からWindowsもLinuxも管理できるようにする」とシュルツ氏。またShavlikでは、IBM(Tivoli)やSymantec、Marimbaなどといった他社製品との統合も進めている。

 しかし日本のパッチ管理市場はまだまだ未開拓だという。「米国も最初はそうだった。自社製品の売り上げだけに関心を持つのではなく、パッチ管理市場全体の関心を高める必要がある」(シュルツ氏)。このためシュルツ氏は、Shavlikでパッチ・データベースの開発を進める一方、Patch Management.orgで、特定ベンダ製品によらないパッチ管理の情報交換コミュニティを主導している。米国のWindowsパッチ管理分野でシュルツ氏を知らない人はいない。「日本でも同じようなコミュニティを立ち上げたいね」とシュルツ氏。

 国内向けのパッチ管理ソフトとしては、すでにアップデートテクノロジー社のUpdateEXPERTが販売されており、一定のシェアを獲得している。また本家Microsoftは、企業向けパッチ管理ソフトとして無償提供しているSUS(Software Update Services、「サス」と読む)の後継であるWUS(Windows Update Services、「ワス」と読む)の開発を進行中だ。現在ベータテストが実施されているWUSの正式版提供は、2005年中盤といわれている。このWUSでは、現在のSUSからさらにサポート対象ソフトウェアの幅を広げ、機能が強化される。競合は激戦だ。しかしシュルツ氏は楽観的である。「日本は巨大なマーケット。いくら競合が激しくても、開拓の余地は十分にある」。

 WUSのサポート・ソフト拡充、機能強化もどこ吹く風だ。「いまのSUSが発表されたときも、一時的に顧客が離れ、HFNetChkProの売り上げはダウンした。でも1カ月もすると顧客は戻ってきた。サポートされるソフトウェアの種類は貧弱、機能も貧弱で使いにくいから当たり前、WUSにしたところで基本的な事情は同じ」とシュルツ氏。「SUSにしろWUSにしろ、無償提供ソフトの機能強化には限界がある。Microsoftは、有料製品であるSMS(Systems Management Server)を将来のパッチ管理ソリューションの中心に据えたいと考えているはずだ。しかしこれは簡単ではない」

パッチ管理ソフトと対応ソフト
パッチ管理ソフトと対応ソフト
Windows Update/SUSは現行ソフトが中心、次のWUSでは新たにOffice対応などが加わる。しかしOffice 2000やSQL Server 5.5など、古いソフトウェアには対応していない。しかし企業などでは、こうした古いソフトウェアもまだ利用されているケースが多い。

 「パッチ管理は手間のかかる作業。しかし普段からきちんと実施しておけば、結果的には時間の節約になる。このところ大型のワーム被害などは発生していないが、これからも起こらないという保証はどこにもない」と、シュルツ氏は気になる言葉でインタビューを締めくくった。End of Article

目次ページへ  「Trend Interview」


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間