運用
Microsoft Baseline Security Analyzer 2.0日本語版(前編)

1.MBSA 2.0の主要な機能強化点

デジタルアドバンテージ 小川 誉久
2005/07/29

 詳しくは後編で個別に解説することにして、ここでは、MBSA 2.0で追加された新機能や強化された機能のうち主要なものをまとめておく。

■Windows Updateエージェントの自動配布
 MBSA 2.0でパッチをスキャンするには、スキャンする側とスキャンされる側の双方のコンピュータにエージェント・プログラム(WUA)が必要だ。WUAがリモート・コンピュータにインストールされていないときは、MBSA 2.0からコンポーネントを送り込んでからスキャンすることが可能である。

■オフライン・カタログ
 インターネット接続が利用できないコンピュータは、MBSAコンソールがキャッシュしている、あるいは別途ダウンロードしたオフライン・カタログを使ってパッチをスキャンできる。

■WSUSとの統合
 別途カタログ・ファイルに頼ることなく、パッチ適用状況のスキャンにWSUSを全面的に使用し、スキャン・エンジンも共通のWUAを使用するようになった。これにより、従来問題になることがあったWSUSとMBSA間の互換性問題は理論上は発生しなくなった。

■WSUSでの「未承認」評価機能
 SUS環境において、従来はSUSで承認されたパッチのみがMBSAのスキャン対象とされていた。このため管理者がSUSでパッチの承認を忘れると、MBSAでスキャンしてもそのパッチは「未適用」として検出されず、セキュリティ・ホールが放置されてしまうという問題があった。これに対しMBSA 2.0では、WSUSで承認されたパッチだけでなく、Microsoft Updateにある最新のカタログも併せてスキャンできる(デフォルト時)。これにより、前記のような問題は回避しやすくなる。

■複数インタンスの同時実行
 MBSA 1.2.1は、GUI版/コマンドライン版の両方を含めて、1つのインスタンスしか実行できなかった。このため多数のコンピュータをスキャンする場合でも、1台1台を順次スキャンするしかなかった。これに対しMBSA 2.0では、複数のMBSA 2.0のインスタンスを実行し、複数コンピュータを並行してスキャンできるようになった。

■レポート機能の強化
 MBSA 1.2.1のスキャン結果は、.xmlファイルに出力できるだけだった。これに対しMBSA 2.0では、.mbsaというMBSA 2.0専用ファイルが生成され、これを複数のメンバーで共有し、MBSA 2.0を情報ビューアとして利用するなどが可能になった。

■MBSA 1.2.1とMBSA 2.0の同時使用
 MBSA 1.2.1と2.0を同一コンピュータの別のフォルダにインストールすることが可能であり、両者の並行実行がサポートされる。これにより、MBSA 2.0ではサポートされない古い製品の管理も行えるようになる(Office 2000、SQL Server 2000 SP3など)。

■一覧入力ファイルのサポート
 MBSA 1.2.1のMBSA形式スキャンでは、IPアドレスの範囲を指定して複数のリモート・コンピュータを一挙にスキャンすることができた。しかしDHCP環境では、コンピュータのIPアドレスは不定なので、特定のコンピュータ・グループを管理する方法としてはあまり好ましくなかった。これに対しMBSA 2.0では、管理対象となるコンピュータ名(またはIPアドレス)をファイルに列挙しておき、これらのコンピュータに対するスキャンをまとめて実行できるようになった。

■簡易ローカル・スキャン機能
 MBSA 2.0をインストールしなくても、必要最低限の実行ファイル(mbsacli.exeとwusscan.dll)を対象コンピュータに配布するだけで、ローカル・スキャンが可能になった。多数のコンピュータにおいて、スクリプトでスキャンを実行する場合などに便利な機能である。

■Webリンク情報の拡充
 MBSA 1.2.1では、検索結果の一覧表示には対応するセキュリティ情報へのリンクしかなく、対応パッチをダウンロードするには、管理者が自身でセキュリティ情報ページからリンクをたどる必要があった。これに対しMBSA 2.0では、ダウンロード・サイトのリンクが表示されるように改良された。また各脆弱性の最大深刻度も表示されるようになった。

MBSA 2.0の動作条件、サポートされるソフトウェア

 MBSA 2.0の利用にあたっては、動作条件やスキャン可能なソフトウェア、従来のMBSA 1.2.1との互換性などについてよく理解しておく必要がある。

■MBSA 2.0をインストール可能なコンピュータ
 MBSA 2.0をインストールしてローカル/リモート・コンピュータをスキャンするには、以下の構成のコンピュータが必要である(32bit版システムの場合。64bit版とエンベデッド版については後述する)。

  必要条件
OS Windows 2000 SP3/Windows XP/Windows Server 2003
IE 5.01以降
エージェント WUA 2.0
XMLパーサー MSXML 3.0以降
MBSAコンソールをインストールできるコンピュータの構成

 Windows NT 4.0にはMBSA 2.0はインストールできない(スキャン対象のコンピュータとしてもWindows NT 4.0はサポートされない)。またWindows Update (v6)/Microsoft Update/WSUSで提供されるWUA 2.0が必要だ。MBSA 2.0はXMLパーサーを利用するため、MSXML 3.0以降のバージョンがシステムにインストールされていなければならない。特にWindows 2000システムでは、古いMSXMLがインストールされている可能性があるので、バージョンを確認し、必要ならXMLパーサーを更新する(XMLパーサーはマイクロソフトのダウンロード・センターから入手できる)。

 MBSA 2.0で更新プログラムの適用状況をスキャンするには、最初に、インターネット上にあるマイクロソフトのサイトから、カタログ・ファイル(wsusscan.cab)をダウンロードできなければならない。このためのインターネット接続が必要である。

 またMBSAでスキャンを実行するユーザーには、対象コンピュータの管理者権限が必要がある。

■MBSA 2.0でスキャン可能な対象コンピュータ
 MBSA 2.0を利用してリモートからスキャン可能なコンピュータのスペックは以下のとおり。

  必要条件
OS*1 Windows 2000 SP3/Windows XP*2/Windows Server 2003
IE 5.01以降
エージェント WUA 2.0
XMLパーサー MSXML 3.0以降
Windowsインストーラ*3 3.0以降
MBSAでスキャン可能な対象コンピュータの構成
*1 ItaniumベースのコンピュータはWindows Server 2003 SP未適用、SP1のみサポート。
*2 簡易ファイル共有不使用時のみ。
*3 Office製品の更新プログラム・チェック使用時。

 注意点としては、スキャンされるコンピュータにもエージェントのWUA 2.0が必要なことである。MBSA 2.0にはWUAの配布機能があるので、オプションを指定すればスキャンする前にWUAを相手に送り込める。

 MBSA 2.0のリモート・スキャンでは、TCPの135、139、445番ポート(さらに環境によってはUDPの137、138番ポート)が使用されるので、MBSA 2.0コンソールをインストールしたコンピュータから、管理対象コンピュータのこれらのポートにアクセスできる必要がある。ただし環境によっては、これらの通信ポートだけでなく、DCOMの設定などによってエラーが発生する場合もあるようだ。ネットワーク環境の詳細については、以下のFAQなどを参照されたい。

■64bit環境、エンベデッド環境のサポート
 64bit環境(IA64、x64)やエンベデッド環境(Windows XP Embedded)では、MBSA 2.0のインストールや、スキャンに関する条件が異なっている。対応状況をまとめると次のようになる。

プラットフォーム
x86
x64
IA64
エンベデッド
MBSA 2.0のインストール
未サポート
未サポート
セキュリティ更新のスキャン
ローカル/リモート
ローカル/リモート
リモートのみ
リモートのみ
WUAのインストール/MUの設定
自動
自動
手動
手動
脆弱性のスキャン
ローカル/リモート
×
×
×
MBSA 2.0のプラットフォーム別サポート状況
IA64、エンベデッドのセキュリティ更新をスキャンするには、管理対象コンピュータに手動でWUAをインストールする必要がある。

 まず、64bit環境でMBSA 2.0のインストールがサポートされるのは、x86とx64システムのみで、IA64システムはサポートされない。エンベデッド・システムにもMBSA 2.0はインストールできない。

 ローカル・スキャンが可能なのはx86およびx64システムのみである。IA64およびエンベデッド・システムは、リモート・スキャンの対象になれるのみだ。

 x86およびx64システムに対しては、MBSA 2.0からWUAをリモート・インストールできるが、IA 64およびエンベデッド・システムではこれはできない。これらのシステムをリモート・スキャンするには、あらかじめ手動でWUA 2.0をインストールしておく必要がある。

スキャン可能な更新プログラム

 MBSA 2.0でスキャンできる更新プログラムは、セキュリティ更新プログラム(いわゆるセキュリティ・パッチ)、ロールアップ(「悪意のあるソフトウェアの削除ツール」はこの分類に含まれる)、Service Packの3種類である。Microsoft Updateでは、これら以外にも、通常の(セキュリティ以外の)バグ・フィックスなど更新プログラムがあるが、MBSA 2.0ではこれらはスキャン対象にはならない。

 新旧ソフトウェアが混在する環境でのスキャンにおいて、特に注意が必要なのは、MBSA 1.2.1とMBSA 2.0でスキャンできるソフトウェア・バージョンが異なることだ。残念なことに、MBSA 2.0は、MBSA 1.2.1でスキャンできる対象をすべて包含しているわけではない。古いバージョンのソフトウェアなどでは、MBSA 1.2.1でしかスキャンできないものがある。

対象となる製品
MBSA 2.0
MBSA 1.2.1
Windows 2000 SP3/SP4、Windows XP、Windows Server 2003
DirectX
×
.NET Framework
×
Windows Messenger
×
FrontPage Server Extensions (Office XP 以降)
×
Windows Media Player 10
×
Windows Script 5.1、5.5、5.6
×
Windows Server 2003(64bit版)
×
Windows XP(64bit版)
×
Windows XP Embedded
×
Outlook Express
×
SQL Server 2000 SP4
Exchange 2000 SP3
Office XP
Office 2000
×
SQL Server 7.0、2000 SP3a
×
Exchange 5.0、5.5
×
Host Integration Server 2000、2004/SNA Server 4.0
×
BizTalk Server 2000、2002、2004
×
Commerce Server 2000、2002
×
Content Management Server 2001、2002
×
MBSA 1.2.1、MBSA 2.0でスキャンできるソフトウェア・バージョン(2005年7月現在)

 従って環境によっては、MBSA 2.0とMBSA 1.2.1を組み合わせて使用しなければならない。前述したとおり、この場合でもMBSA 2.0とMBSA 1.2.1の両者を1台のコンピュータにインストールして同時に実行することが可能である。

 ただしマイクロソフトは、2006年第1四半期をもって、MBSA 1.2.1のサポートを終了し、サポート終了後はカタログ・ファイルの更新版を提供しないとしている。従って何らかの事情から、これ以後も古いバージョンのソフトウェアを使い続け、それらに対してもパッチ管理を実行したいなら、古いカタログ・ファイルを使い続けるか、それをサポートするサードパーティ製品などを探す必要があるだろう。

                     ■

 後編では、MBSA 2.0のインストールと、主要機能のいくつかを取り上げて詳しく解説する。End of Article


 INDEX
  [運用]
  Microsoft Baseline Security Analyzer 2.0日本語版(前編)
  1.MBSA 2.0の主要な機能強化点
  Microsoft Baseline Security Analyzer 2.0日本語版(後編)
    1.MBSA 2.0のインストール
    2.MBSA 2.0の基本的な操作方法
    3.レポートの表示
    4.コマンドラインで使うMBSA 2.0
    5.VisioとMBSA 2.0の連携
 
 運用


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間
@IT