運用

Microsoft Baseline Security Analyzer 2.0日本語版
(前編)

―― 進化したパッチ・レポート/セキュリティ検査ツール ――

デジタルアドバンテージ 小川 誉久
2005/07/29


MBSA 1.2日本語版の詳細

 マイクロソフトは2005年7月1日、コンピュータへのパッチ(修正プログラム)の適用状況やセキュリティ強度を検査するツール「Microsoft Baseline Security Analyzer 2.0日本語版(以下MBSA 2.0)」を同社のサイトで公開した。これは前版MBSA 1.2.1のバージョンアップ版である(MBSA 1.2.1の詳細については、関連記事をご覧いただきたい)。

Windows Server Updates Servicesの詳細

 MBSAを利用すれば、コンピュータにまだ適用されていないパッチにどんなものがあるか(適用済みの修正プログラムはどれか)、パスワード設定や自動ログオンの有無などのWindowsシステムのセキュリティ強度、IIS、SQL Server、Internet Explorerなどの追加ソフトウェアのセキュリティ強度を検査できる。検査はローカル・コンピュータ(自分自身)だけでなく、リモート・コンピュータに対しても実施できるため、数多くのコンピュータを管理する企業の管理者が、コンピュータのセキュリティ・リスクを総括的に管理するのに大いに役立つ。MBSAは状況を検査するだけで、自身はパッチを適用する機能を持たないが、パッチを適用できるWindows Update/Microsoft Update(個人、SOHO環境向け)や、Windows Server Update Services(以下WSUS。企業向け)と組み合わせることで、パッチの適用と適用状況の確認ができるようになる。

MBSAの基本機能
MBSAの基本機能
MBSAを利用して、ローカル・コンピュータやリモート・コンピュータのパッチ適用状況の確認や、システムのセキュリティ強度の確認ができる。

 今回発表されたMBSA 2.0の起動画面を以下に示す。

MBSA 2.0日本語版
MBSA 2.0日本語版
一見しただけでは、前版であるMBSA 1.2.1との違いが分かりにくいが、適用済みパッチの検出エンジンの変更に加え、細かい機能向上が数多く加えられている。

 本稿では、このMBSA 2.0について、読者の関心が高いであろうパッチ管理機能を中心に、従来版MBSA 1.2.1からの機能拡張点などをまとめる。

MBSA 2.0で何が変わったのか?

 前述したとおり、ユーザー・レベルでプログラムの実行画面を見ただけでは、従来のMBSA 1.2.1と新しいMBSA 2.0の違いは分かりにくい。しかしMBSA 2.0の内部は、マイクロソフト製品の統一的なパッチ管理プラットフォームに対応させるために、パッチ検出エンジンが一新されている。具体的には、先ごろ提供が開始されたMicrosoft Update(個人、SOHO向けパッチ管理メカニズム)とWSUS(企業向けパッチ管理メカニズム)の共通プラットフォームにMBSA 2.0は対応している。

 まずは比較のために、従来のマイクロソフトのパッチ管理メカニズムについて見てみよう。

従来のパッチ管理メカニズム
従来のパッチ管理メカニズム
マイクロソフトが提供するパッチ管理機能は、製品やサービスによって系統が分離されていた。Windowsのセキュリティ更新などを行うWindows UpdateやSUS、Office製品用の検出/適用ツール(Office Update)、サーバ製品用検出ツール(EST)、適用済みパッチの検出だけを担当するShavlik Technologies社開発のHFNetChkが別々に提供されていた。

 従来の構成では、必要なものを必要なときに開発したり、社外から調達したりして、バラバラなツールを組み合わせて使用していた。Windows OSのセキュリティ更新や重要な更新を適用するWindows Update/SUSは独立しており、これ以外の機能とは直接連携していない。Office製品についてはOffice UpdateとOffice検出ツールを使い、サーバ製品についてはEST(Enterprise Update Scan Tool)を使い、MBSA 1.2.1でのパッチ適用状況の確認には、Shavlik Technologies社(以下Shavlik)が開発したHFNetChkのエンジンを使用していた。パッチの提供状況は、Shavlik開発ベースのMSSecure.XMLというファイルによって情報が提供される。

 このように従来のメカニズムでは、Windows Update/SUSとMBSA 1.2.1がまったく別の系統に分かれていた。SUSは実質的にパッチの適用のみが可能で、適用が成功したかどうかを知るにはMBSAを組み合わせる必要があった。しかし両者はまったく別系統の情報ソースを基に動いているので、時として整合性に問題が生じる場合もあった。

 これに対し、Microsoft UpdateやWSUS、MBSA 2.0で構成される新世代のパッチ管理メカニズムでは、Shavlik製のテクノロジから、マイクロソフト・テクノロジに変更・統一されるとともに、パッチ提供情報(Microsoft Updateカタログ)や適用済みパッチの検証(Windows Update Agent:以下WUA)が共通化、統合化された。今後はSMS(Systems Management Server)やMOM(Microsoft Operations Manager)などのシステム管理製品も、これらの共通テクノロジを利用するように変更される。

新しいパッチ管理メカニズム
新しいパッチ管理メカニズム
新しいMicrosoft Update、WSUS、MBSA 2.0では、従来版のベースとなっていたShavlik社製テクノロジから、マイクロソフト・テクノロジに変更、統合化される。

 新しいメカニズムではまず、すべての製品やサービスで使用されるパッチ提供情報が「Microsoft Updateカタログ」として一元化される。Microsoft Updateの自動更新やWSUSは、このカタログをMicrosoft Updateサイト経由で入手し、パッチ管理に使用する。

 「オフライン・カタログ」は、インターネットに接続できない環境でも、パッチ提供状況を参照可能にするためのしくみで、MBSA 2.0やSMS、MOMはこれを使用して、オフライン環境でも処理が可能になる。ただしすぐ次で述べるとおり、MBSA 2.0のスキャンでは、通常はスキャン対象のコンピュータ自身がWSUS/Microsoft Updateからカタログ情報を取得するようになっている。MBSA 2.0のオフライン・カタログが使われるのは、これらからのカタログ取得が失敗した場合だけだ。

 そして、サービスや管理製品の違いによらず、コンピュータに対する現在のパッチ適用状況検査は、Windows Update Agent(WUA)と呼ばれる共通コンポーネントによって処理される(原稿執筆時点でのコンポーネントのバージョンは2.0)。WUAは各コンピュータにインストールされ、MBSAやWSUSなどに対し、ソフトウェア更新管理用のAPIを提供する。

 つまりこの新しいメカニズムでは、サービスや製品の違いによらず、同じ情報ソース(アップデート・カタログ)を使い、同じコンポーネント(WUA)でパッチの適用状況が検査されるということだ。

MBSA 2.0パッチ・スキャンのしくみ

 クライアント側エージェント・プログラムであるWUAを使用するMBSA 2.0では、パッチ・スキャンの手順は従来とは大きく異なる。以下にMBSA 2.0におけるパッチ・スキャンの流れを図示した。

MBSA 2.0のパッチ・スキャンの流れ
MBSA 2.0のパッチ・スキャンの流れ
MBSA 2.0では、WUA自身が定期的にダウンロードし保持しているカタログ情報をもとに、自分自身をスキャンし、結果をMBSAコンソールに通知する形式をとる。
  MBSAコンソールがMicrosoft Webサイトにアクセスし、更新版のオフライン・カタログ(wsusscan.cab)が存在する場合にはそれを取得する。
  スキャン対象コンピュータのWUAに対し、パッチ適用状況のスキャン実行を指示する。
  WSUSサーバが指定されている場合にはこれにアクセスし、新しいカタログ情報があるかどうかを確認する。更新情報があるときには、差分だけを取得する。
  Microsoft Updateサイトにアクセスし、新しいカタログ情報があるかどうかを確認する。更新情報があるときには、差分だけを取得する。WSUS/Microsoft Updateにアクセスできない場合は、MBSAコンソールがオフライン・カタログを送付する。
  自身のパッチ適用状況をスキャンし、結果をMBSAコンソールに返す。WSUSとMicrosoft Updateの両方を使用してスキャンしたときは、両者をマージした結果を返す。

 スキャン対象コンピュータを指定してMBSA 2.0を起動すると、まずはMBSAコンソールがMicrosoft Webサイトにアクセスし、オフライン・カタログ(wsusscan.cab)の更新版が存在しているかどうかをチェックする。更新版があれば、それをダウンロードする。

 次にMBSAコンソールは、スキャン対象のコンピュータにインストールされたWUAにアクセスする。するとスキャン対象のコンピュータは、WSUSサーバにアクセスし(デフォルト設定でWSUSを利用している場合)、WSUSサーバにあるカタログ情報が更新されていないかどうかをチェックする。更新されている場合には差分情報を取得する。続いてスキャン対象コンピュータは、Microsoft Updateにアクセスし(デフォルト設定の場合)、同様にカタログの更新をチェックし、更新されていたら差分情報を取得する。Microsoft Updateにアクセスできない場合は、MBSAコンソールからオフライン・カタログを送付してもらう。なお、自動更新が設定されたコンピュータでは、このWSUS/Microsoft Updateとのカタログの同期は定期的に実施されているため、MBSAスキャン時に必要な差分情報はわずかである。

 カタログの最新版を取得したスキャン対象コンピュータのWUAは、自身をスキャンし、WSUSとMicrosoft Updateの両方を使用してスキャンしたときは両者の結果をマージし、それをMBSAコンソールに送る。

 従来のMBSA 1.2.1のスキャンでは、MBSAコンソールがダウンロードしたオフライン・カタログを常に使用していたため、カタログ・データのサイズが大きくなると、ネットワークに大きな負荷がかかってしまっていた。これに対しMBSA 2.0では、スキャン対象となるコンピュータにインストールされたWUAがWSUSサーバ/Microsoft Updateにアクセスしてカタログ情報の差分だけを取得し、スキャン結果をMBSAコンソールに返すように変更された。このためMBSA 2.0では、多数のコンピュータをスキャンする場合でも、ネットワークにかかる負荷はごくわずかで済む。

 

 INDEX
  [運用]
Microsoft Baseline Security Analyzer 2.0日本語版(前編)
    1.MBSA 2.0の主要な機能強化点
  Microsoft Baseline Security Analyzer 2.0日本語版(後編)
    1.MBSA 2.0のインストール
    2.MBSA 2.0の基本的な操作方法
    3.レポートの表示
    4.コマンドラインで使うMBSA 2.0
    5.VisioとMBSA 2.0の連携
 
 運用


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間