Windows TIPS
[System Environment]
Windows TIPS TOPへ
Windows TIPS全リストへ
内容別分類一覧へ

セキュリティ・パッチの3つのレベル

デジタルアドバンテージ
2001/08/23
2002/01/26更新
 
対象OS
Windows 2000 Professional
Windows XP Professional
Windows XP Home Edition
Windows 2000 Server
Windows 2000 Advanced Server
セキュリティ・ホールなどが発見されると、これに対処するためのパッチが公開される。
しかし同じ問題を修正するパッチであっても、とにかく早期の対応を目指したもの、早期対応よりも信頼性を重視したものと、パッチにもレベルがある。
セキュリティ・ホールの内容などによって、これらのパッチを適切に使い分ける必要がある。
  解説

 ソフトウェアにバグは付き物、複雑なシステムにセキュリティ・ホールは付き物とはいえ、連日のように公表されるセキュリティ情報には、正直なところ辟易しているユーザーや管理者の方も少なくないだろう。

 もちろん、何の情報も得られなくて被害に遭うよりは、システムに潜むセキュリティ・ホール(脆弱性)の情報や、それに対処するためのセキュリティ・パッチが素早く公開されるほうがはるかにありがたい。けれども、それも程度の問題がある。マイクロソフトがTechNetサイトを中心にセキュリティ情報の公開を積極的に行うようになって以来、新規のセキュリティ情報に加え、過去に公表されたセキュリティ情報の更新などもあり、連日のように新しいセキュリティ情報が公開されている。通常これらのセキュリティ情報には、関連するセキュリティ・ホールを解消するためのセキュリティ・パッチへのリンクが用意されており、そこからパッチをダウンロードして、システムにインストールできるようになっている。

 しかしひと口に「セキュリティ・パッチ」といっても、マイクロソフトの説明によれば、実際には3つのレベルがあるようだ。パッチのレベルと、それぞれのダウンロード場所、特徴をまとめると次のようになる。

対応レベル ダウンロード可能サイト 特徴
早期対応重視レベル Microsoftダウンロード・センター 問題となっているセキュリティ・ホールからシステムを一刻も早く守るため、早期対応を最重要視し、必要な対策だけを施したレベル。その代わり、インストールの簡便化(自動インストール)や多国語対応などは後回しにされる。最新のセキュリティ情報ページからたどってダウンロードできるのはこのレベルのパッチである
Windows Update対応レベル ・Windows Updateのページ

・Windows Updateダウンレベル・ページ
適用されるコンピュータの構成に応じたさまざまな依存関係に対応し、問題なく自動アップデートできるように対応されたレベル。ただし自動化に対応するため、上の「早期対応重視レベル」からは1〜2週間程度公開が遅れる
Service Packレベル Windows 2000のSPダウンロード・ページ 不具合の修正、セキュリティ・パッチなどをひとまとめにしたService Packに対応したレベル。複数の修正モジュールやセキュリティ・パッチを組み合わせて適用しても、システムが正常に稼働することが十分にテストされたバージョン

とにかくセキュリティ・ホールの解消を第一の目的とする「早期対応重視レベル」

 まず、何らかのセキュリティ・ホール(脆弱性)が見つかると、マイクロソフトはそれを早急に修正し、一刻も早くシステムからセキュリティ・ホールを排除するためのパッチを作成し、公開する。このときパッチは、今回話題にしているセキュリティ・パッチを始め、無償ツールや技術ドキュメントなどを広く配布するための「Microsoftダウンロード・センター」に登録される。この際、通常は当該セキュリティ・ホールに関する情報がマイクロソフトのセキュリティ情報ページ(TechNetのセキュリティ情報のページ)上で公開され、そのページから、パッチのダウンロード先としてこのMicrosoftダウンロード・センターのページがリンクされる。

 この段階で公開されるパッチは、セキュリティ・ホールの早期解消を第一として作成されるため、次に述べるWindows Updateでの自動インストールなどには対応しておらず、通常は手作業でパッチを適用しなければならない(手作業によるパッチの適用方法については、別稿の「TIPS:セキュリティ・パッチを適用する」を参照のこと)。また多国語対応がなされていない場合もある。

 このパッチを適用するかどうかは、セキュリティ・ホールの内容と、それがシステムに及ぼす影響の度合いを管理者が判断することになる。これには、前出のセキュリティ情報ページが頼りだが、この情報だけから、必要性を的確に判断するのはかなり難しい。安直には、「適用を迷ったパッチについては、念のため適用しておく」という方法もある。自分だけが使っているクライアントPCなら、この方法を採ることができるだろう。しかし複数のクライアントに対して、何らかの共有資源を提供しているサーバではこうはいかない。パッチの適用にはシステムの再起動が伴うので、自動的に可用性が低下するし、さらにパッチの適用によって、副作用が発生しないという保証はないからだ。特にこの段階で公開されるパッチは、時間的に考えて、副作用のテストなどが十分に行われていない可能性がある。セキュリティ・ホールの解消を急ぐか、以下で述べる、もう少しテストされたパッチを待つか、ケース・バイ・ケースで判断しなければならない。

 なお、前出のTechNetのセキュリティ情報ページでは、新しく見つかったセキュリティ・ホールや、パッチ情報の更新があったものだけが順次報告される。しかし現実には、このようにして過去に情報が公開されたセキュリティ・ホールを突いたクラッキングが、後になって発生することがある。新着情報を網羅的にチェックして、適切な対応をしていれば問題はないが、うっかりチェックを忘れてそのままになっていると、クラッキングにタイムリーに対応できなくなる可能性がある。このような場合に備え、新着情報に加え、セキュリティ関連の話題を幅広く扱うTechNetセキュリティ・センターも定期的にチェックすべきである。

TechNetセキュリティ・センター
新着セキュリティ情報だけでなく、過去に公開されたセキュリティ情報を突いたクラッキング問題の発生などをタイムリーに伝えるページ。新着情報だけでは、こうした時間差のあるクラッキングにタイムリーに対応できない可能性がある。画面は、Java VMのセキュリティ・ホールを突いて、悪意のあるWebページを閲覧しただけでシステムが破壊されるというクラッキングの発生を告知したもの。この問題の原因となったセキュリティ・ホールの情報自体は過去に報告されていたため(このセキュリティ・ホールに関する情報ページ)、新着情報の方には、このクラッキング発生の報告は当初はなされなかった。
TechNetセキュリティ・センター

 マイクロソフトは、システムに最新のセキュリティ・パッチが適用されているかどうかを検査するためのツール(hfnetchkツール)を無償公開している。このツールを使えば、ローカル・マシンはもちろん、ネットワークの先にあるマシンに対するパッチの適用状態を検査し、まだ適用されていない新しいパッチが存在するかどうかを確認することができる。このhfnetchkツールの詳細については別稿「Windows TIPS:セキュリティ・パッチの適用状態を調べる ―― HFNetChkツールの使用法 ――」を参照されたい。

アップデートの自動化に対応したWindows Update対応レベル

 「早期対応重視レベル」のパッチを公開したら、次にマイクロソフトのプログラマはWindows Updateによる自動アップデートに対応したバージョンの開発に入る。Windows Updateは、Active Xコントロールを利用して、ローカル・システムの構成を走査し、Windowsを最新環境にアップデート(更新)するために必要なファイル群(まだ適用されていないパッチ)を自動的に選択してくれる。したがって、これをアクセスした環境によって、選択されるファイルは異なる。

Windows Update
Windows Updateでは、Active Xコントロールを利用して、システムの構成を検査し、必要なアップデートに必要なファイル情報を提示してくれる。 ここで[今すぐインストール]ボタンをクリックすれば、必要なパッチがダウンロードされ、システムにインストールされる。

 このWindows Updateに登録されるパッチは、パッチの自動インストール対応や多言語対応が施されたもので、またさまざまなハードウェア/ソフトウェアの依存関係がある中でも、正しくパッチのインストールを完了できるようにテストされている。つまり、先の「早期対応重視レベル」に比較すれば、副作用が発生する可能性は低減されているということだ(ただしもちろん、100%安全という保証はない)。しかしこのような対応を加えるため、「早期対応重視レベル」に比較すると、このレベルのパッチがWindows Updateに登録されるまでには2〜3週間の遅れが生じる。

 なお、Windows Updateでは、そのサイトをアクセスしたシステムが自動的に走査され、必要なファイルが選択されるのだが、場合によってはこのような自動化が迷惑な場合もある。これは例えば、管理者が、誰か別のコンピュータ向けのパッチを入手したい場合などがあるだろう。このような場合には、Windows Updateに登録されたパッチと同じものを、手動でダウンロードできるページを利用できる(マイクロソフトは、このページのことを「Windows Updateダウンレベル・ページ」と呼んでいるようだ)。ここからは、各種製品別のパッチを入手することができる(マイクロソフトの「製品別修正プログラム一覧」のページ)。

安心のService Pack

 そして最も完成度の高いパッチが収録されているのがService Packである。ご承知のとおりService Packは、システムの不具合を修正するモジュールや、セキュリティ・パッチなどをとりまとめて、一括してシステムに適用できるようにしたものだ。この原稿執筆時点(2002年1月)で、Windows 2000向けには2つ目のService PackであるService Pack 2(以下SP 2)が公開されている(SP 2の詳細は「Insider's Eye:速報:Windows 2000 Service Pack 2 日本語版」を参照。Windows 2000 SP2のダウンロード・ページ)。

 このService Packに収録されるセキュリティ・パッチが前出の2つのレベルと最も異なるのは、早急な対応よりも、品質に重点が置かれていることだ。単独のパッチでは対応していない細かな修正も加えられていること、Service Packを適用したことによる副作用などについて、製品レベルでの品質検査が実施される。これにしても、100%完全ということではないが、少なくともセキュリティ・パッチをいくつも組み込むよりは安全性は高いはずだ。早期対応を第一目的とするセキュリティ・パッチとは異なり、Service Packは、品質が確保されるまではリリースが延期される。

 セキュリティ・パッチに対する最も標準的な姿勢は、組織的なパッチの適用は、十分にテストされた最新のService Packを使用し、緊急性が高く、影響も大きいと思われるものについてのみ、最新のセキュリティ・パッチを適用するということになるだろう。口で言うのはいともたやすいのだが……。End of Article

関連記事(Windows Server Insider)
  Windows TIPS:セキュリティ・パッチを適用する
  Windows TIPS:セキュリティ・パッチの適用状態を調べる ― HFNetChkツールの使用法 ―
  Insider's Eye:速報:Windows 2000 Service Pack 2 日本語版
     
  関連リンク
  TechNetのセキュリティ情報のページ(マイクロソフト)
  TechNetセキュリティ・センターのページ(マイクロソフト)
  マイクロソフトの「製品別修正プログラム一覧」のページ(マイクロソフト)
     
更新履歴
【2002/01/26】hfnetchkツールの情報などを追加しました。
 
「Windows TIPS」

@IT Special

- PR -

TechTargetジャパン

Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

イベントカレンダー

PickUpイベント

- PR -

アクセスランキング

もっと見る

ホワイトペーパーTechTargetジャパン

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間
ソリューションFLASH