連載
» 2020年03月30日 05時00分 公開

Microsoft Azure最新機能フォローアップ(104):「2020年5月」までに確認しておきたいAzureサービスの重要な変更

Microsoftは「Azure Log Analyticsエージェント」について、2020年5月18日(米国時間)に「SHA-2署名」を強制することを発表しました。この影響により、関連するAzureサービスの一部としてエージェントを利用しているシステムで対応が必要になる場合があります。また、2020年5月には、Linuxコンテナに最適化された「CoreOS」のライフサイクル終了も控えています。

[山市良,テクニカルライター]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

「Microsoft Azure最新機能フォローアップ」のインデックス

Microsoft Azure最新機能フォローアップ

2020年5月18日からLog AnalyticsエージェントでSHA-2署名が強制される

 Microsoftは3月18日(米国時間)、Microsoft Azureでログの収集と分析を行うサービス「Azure Log Analytics」のWindows用エージェント「Log Analyticsエージェント」(「OMS Windows Agent」や「Microsoft Monitoring Agent」として知られています)について、2020年5月18日から「SHA-2署名」の使用を強制することを発表しました。

 この影響で、VM(仮想マシン)拡張機能「Microsoft Monitoring Agent」がインストールされているAzure仮想マシンや、Log Analyticsエージェントがインストールされているオンプレミスの物理/仮想マシンの一部で対応が必要になります。影響を受けるのは、レガシーOSである「Windows 7」「Windows Server 2008」「Windows Server 2008 R2」を実行しているシステムです。

 これらのOSを実行するシステムにおいて、2020年3月にリリースされたエージェント(バージョン10.20.18029)以降にアップグレードが済んでいない場合、そのエージェントは「2020年5月18日(米国時間)」が過ぎると、Azure Log Analyticsワークスペースへのデータ送信を停止します。

 データ送信の停止は、「Azure Monitor」「Azure Automation」「Azure Update Management」「Azure Change Tracking」「Azure Security Center」「Azure Sentinel」「Microsoft Defender Advanced Threat Protection(ATP)」といった、広範囲のAzureサービスに影響します。

 エージェントのバージョンの更新履歴と、アップグレードの方法(アップグレードされていない場合は必須)やTLS 1.2の構成(オプションだが推奨)については、以下のドキュメントで確認できます。

画面1 画面1 SHA-2署名のサポートは、2020年3月リリースのエージェントおよびVM拡張機能で追加された

 なお、最新のエージェントにアップグレードするには、2019年に行われたWindowsおよび「Windows Server Update Services(WSUS)」におけるSHA-2への移行に対応したWindowsの更新プログラムが前提となっています。Windows UpdateによりOSが最新の状態に更新されていれば、その更新も含めて、エージェントも最新版になっているはずです(画面2)。

画面2 画面2 2020年3月の「拡張セキュリティ更新プログラム(ESU)」をインストールした「Windows 7 Enterprise」のエージェントは、他に追加の作業をしなくても最新のエージェントになっていた。なお、Azure上のWindows 7 Enterpriseは、Windows Virtual Desktopの仮想デスクトップのOSとして、およびVisual Studioサブスクリプションの開発/テスト用途の仮想マシンのゲストOSとして実行することが許可されている

 影響を受けるレガシーOSは、2020年1月に延長サポートが終了した製品ですが、「拡張セキュリティ更新プログラム(Extended Security Updates、ESU)」を購入するか、Azureに移行することで、延長サポート終了後も最大3年間(2023年1月まで)セキュリティ更新を受け取ることができます。Azureに対象のレガシーOSを移行した場合、ESUを購入することなく、ESUのセキュリティ更新プログラムを受け取ることができるため、その特典を利用した企業は多いかもしれません。

 Windows UpdateやWSUS、Microsoft Update CatalogからESUのセキュリティ更新プログラムを受け取れるとはいえ、OS以外のインストール済みのコンポーネントを変更することには消極的になっているかもしれません。しかし、Log Analyticsエージェントに依存するAzureサービスを利用している場合は、念のためエージェントが最新バージョンに更新済みになっているかどうか確認することをお勧めします。

Linuxコンテナ向けのCoreOSのライフサイクルが5月末に終了

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。