山下 眞一郎/富士通九州システムズ 基盤ソリューション本部
ネットソリューション部 担当部長

 ある企業のシステム管理者から『家庭用のパソコンは,家族と共用しているため子供が勝手にソフトウエアをインストールすることがある。しかし,セキュリティ的にぜい弱性があるものは放置できないので,タイムリーにレベルアップやパッチを適用したい。簡単で手間をかけずに,自分が知らずにインストールされたソフトも含めてぜい弱性の存在を検出するツールはないか』と相談を受けました。

 以前のコラムで述べたように,私自身は「自分が使う個人所有パソコンは,できる限り家族とは共有しない」ことを勧めています。しかしその一方で,家族が個々にパソコンを持てば,家庭内にパソコンが増え,継続的に実施しなければならないメンテナンスの手間が増えてしまうことも事実です。パターン・ファイルの最新化やOSのパッチ適用はまだしも,そのパソコンに自分が知らないうちにインストールされた数多くのソフトウエアを含めて,そのぜい弱性を検出することは非常に困難な状況です。

 しかし,全く打つ手がないというわけではありません。その一つの方法が,「ソフトウエアぜい弱性検査ツール」を活用する方法です。この手のぜい弱性検査ツールは,パソコンにインストールされたソフトウエアを一括スキャンし,メンテされたぜい弱性情報データベースと定期的に照らし合わせます。そのうえで,危険なぜい弱性を抱えたソフトウエアがそのパソコンに搭載されていれば,自動的に警告してくれます。

パソコンのファイルを定期スキャン

 2002年に開業したデンマークのセキュリティ・ベンダーであるSecuniaは「Secunia PSI」(Personal Software Inspector)という,パソコンにインストールされた各種ソフトウエアのぜい弱性を検査するツールを無償で提供しています。あくまでも“家庭での利用者”限定(only for home users)ですから,注意してください。

 Secunia PSIは,インストールされたパソコンのファイル(主に,.exe,.dll,.ocxファイル)をスキャンします。収集したデータはSecuniaのサーバーにSSLで送信され,「Secunia File Signatures engine」とのマッチングにより,インストールされているソフトウエアを正確に割り出します。ここでセキュリティ的なぜい弱性が存在すると判断したら,各ソフトウエアのベンダーのWebサイトに誘導します。ただし,ウイルスやスパイウエアの検出・駆除はしませんし,パッチ・プログラムを適用する仕組みも持っていません。

 このSecunia PSIは長らくベータ・リリース(評価版)という位置付けが続いたのですが,2009年6月24日,大幅に機能強化されたバージョン1.5.0.0がメジャー・リリースとして公開されました。当初は日本語版はありませんでしたが,8月24日にリリースされたバージョン1.5.0.1で日本語対応されました。「Changelog」には,日本語化に協力した方の名前も記載されています。日本語表現がやや硬い印象だったり,日本語化されたことで画面のボタンの上から文字がはみ出して表示されたりと,気になる点はありますが,使用するのには全く支障はないレベルと言ってよいと思います。

 Secunia PSIの対応OSはWindows 2000(Service Pack 4)/XP(Service Pack 2以降)/Server 2003/Vistaです。ただし,Microsoft Updateで最新のパッチが適用された状態であることが求められています。また,インストールして実行するために管理者権限が必要になります。なお,System Requirementsには記載されていませんが,私が実際に評価したところ,各種統計情報のグラフなどを表示するために,IEが使用する「ActiveXコントロール版Flash Player」も必要でした。

スタート時は大胆発想の「シンプル」モードで稼働

 では次に,Secunia PSIを評価してみましょう。

 まず,Secunia PSIのページからダウンロードします。「Languages available:」で,日本語版であるJapanese(JP)を選択します。実際には,ここで選択しなくてもインストール時に「日本語」を選択可能です。ダウンロードした「PSISetup.exe」を実行すれば,インストールが開始されます。

写真1●PSIのWebページ
[画像のクリックで拡大表示]
写真2●
写真2●インストール画面その1
写真3●
写真3●インストール画面その2

 途中で,個人的な使用であることへの同意画面が出力されます。

写真4●
写真4●インストール画面その3