「まずはパッチが必要かどうかを判断する。他の回避策がある場合には,パッチを適用せずにサービス・パックが出るのを待つのも手だ。適用する場合には,事前の検証や事後の監視でトラブルを回避する」――。マイクロソフトのプロフェッショナルサポート本部 グローバルテクニカルサポートセンター セキュリティレスポンスチームの奥天陽司マネージャは2月20日,プレス向けの説明会において,パッチ(修正プログラム)の適用によって生じるトラブルを回避する“コツ”について語った。
セキュリティ・ホールを修正するパッチは次々公開されるものの,現在稼働しているシステムにトラブルが発生することを恐れ,適用をためらうユーザーや管理者は少なくないだろう(関連記事)。そのようなユーザーは,以下に同氏の話をまとめたので参考にしてほしい。いずれも既に何度も語られている話ではあるが,改めて確認しておきたい。
パッチは本当に必要か?
パッチを適用する際には,まず「本当に必要なパッチなのか」を判断する。「セキュリティ・ホールの影響を受ける機能を使用しているかどうか」「パッチ適用以外の回避策で対応できないか」――を考えるのである。パッチを適用せずに影響を回避できれば,当然のことながらパッチの適用で発生するトラブルを回避できる。
例えば,Locator Serviceを有効にしていないシステムでは,1月23日に公開された「Locator Service の未チェックのバッファにより,コードが実行される (810833) (MS03-001)」の影響を受けない(関連記事)。つまり,Locator Serviceを有効にしていないシステム,すなわち,ドメイン・コントローラとして設定していない Windows NT,2000 および XPについては,「MS03-001」に関するパッチを適用する必要はないと考えられる。
ドメイン・コントローラとして設定しているWindows NT 4.0および2000マシンについては,本当にその設定しておく必要があるのかを考える。もし必要がない場合には,設定を変更してLocator Serviceを無効にすれば,パッチを適用せずに影響を回避できる。
特定のポートをファイアウオールなどでふさぐことで,外部からの攻撃を回避できる場合もある。パッチを適用せずに回避する方法は,「マイクロソフト セキュリティ情報」の「問題を緩和する要素」の項に記載されているので参考にしてほしい。一般ユーザーは「Windows Update」を利用するだけでも十分だが,管理者は「マイクロソフト セキュリティ情報一覧」を絶えずチェックして,新着情報については上記の「問題を緩和する要素」を含めて全部を読み,セキュリティ・ホールを把握する必要がある。
パッチを適用せずに回避した場合には,その後公開されるサービス・パックを適用し,セキュリティ・ホールをふさいでおく。サービス・パックは,パッチと比較すると丹念にテストを実施しているので,トラブルが発生する可能性は小さい。このことについては,マイクロソフトのサイトで公開している「修正プログラムよりサービスパックが優れている理由」に詳しい。
事前のテストで影響を見る
パッチを適用しなければ回避できない場合には,セキュリティ・ホールがあるサービスを停止するか,パッチを適用することになる。その場合には,テスト環境を使用して「適用しても既存システムに影響を与えないかどうか」を事前に検証することが重要である。
テスト環境を用意できない場合や,セキュリティ・ホールの深刻度が「緊急」で検証している時間がない場合などは,トラブル発生時には適用前の状態に戻せることを確認した上で,本番環境に適用することになる。
この場合には,適用後,トラブルが発生していないかどうかをきちんと監視しなければならない。「パッチの適用」というと,適用時だけ注意すればよいと思われがちだが,その後の運用が重要なのだ。
重要なシステムに対して,「テストもせずに,適用前の状態に戻せることを確認せずにやむくもに適用して,その後の運用監視もしない」――といったパッチの適用方法を採る企業はないはずだ。
ただし,適用前のテストや適用後の運用監視をどのように実施するのかは企業によってさまざまだろう。一概には言えない。企業はそれぞれのポリシーに従って実施することになる。逆に,そのようなポリシーがない場合には,作成しておくべきだ。
(勝村 幸博=IT Pro)
