Windows 2000に対するサービス・パックの提供はまだ続けてほしい

中田敦

2004.11.29

　日経Windowsプロと提携する米国のWindows IT Pro MagazineのWebサイトは，米MicrosoftがWindows 2000 Service Pack 5（SP5）の提供を取りやめ，累積されたセキュリティ修正である「アップデート・ロールパック」をリリースすると報じた（関連記事）。Microsoftが発表したものではなく，同社内部の情報という。

【追記】　米MicrosoftはWindows 2000 ServerのWebサイトで，Windows 2000のService Pack 5の代わりに「Update Rollup」と呼ぶ修正パッチの集合を2005年中頃にリリースすることを明らかにしている（当該ページへ）。

　このニュースには大きな衝撃を受けた。Microsoftにはアップデート・ロールパックではなく，ぜひWindows 2000 SP5をリリースしてもらいたい。Windows 2000はまだ多くの企業で使われているOSである。そして，サービス・パックがあるのとないのとでは，システム管理の手間がかなり変わってくるからだ。

リカバリの手間に差が出る

　まずサービス・パックがあるのとないのとでは，リカバリの手間が違ってくる。現在，きちんとパッチを当てているWindows 2000をリカバリするためには，(1)CD-ROMからOSを再インストールする，(2)Windows 2000 Service Pack 4を適用する，(3)Windows 2000 SP4のリリース後に提供された修正パッチを適用する――という手間がかかる。

　Windows 2000 SP4が日本で公開されたのは，ネットワーク感染型ウイルスのBlasterが登場する前の2003年7月である。(3)の作業を完全に実施するには，2004年11月時点で34個の修正パッチを適用する必要がある（関連情報）。

　もしWindows 2000 SP5が出れば，リカバリのときは(1)と(2)で既知のネットワーク感染型ウイルスに対応できるはずだ。しかしアップデート・ロールパックである場合，(1)と(2)の作業後にアップデート・ロールパックを適用する必要があり，SP5がある場合に比べて一手間多い。

　またサービス・パックなら，「サービス・パック適用済みCD」を作成して，(1)と(2)の作業を同時にやってしまうことが可能だ。しかしアップデート・ロールパックの場合，この技は不可能である可能性が出てくる（従来のセキュリティ・ロールアップ・パッケージは不可能）。

Windowsコンポーネントを追加する際の危険性が違う

　もっと重要なのは，Windowsコンポーネントを追加する際の危険性である。これも最新のサービス・パックがあるのとないのとでは変化する。［コントロールパネル］の［Windowsコンポーネントの追加と削除］から「Internet Information Services」や「WINS」といったWindowsコンポーネントをインストールする際，ある条件下では「セキュリティ・ホールのあるプログラム」がインストールされてしまうのだ。

　ただし，SP5のような新しいサービス・パックがあれば，この危険性は軽減される。Windows 2000以降では，Windowsコンポーネントが追加される際，システム・ファイルのバージョンが「サービス・パックが適用された状態」で維持されるからだ。

　もう少し詳しく説明しよう。［Windowsコンポーネントの追加と削除］からWindowsコンポーネントを追加でインストールしようとすると，OSのCD-ROMが要求されるだろう。ただしWindows 2000は，Windowsコンポーネントの全ファイルをCD-ROMからコピーするわけではない。追加するファイルの中に，サービス・パックによる更新対象になっているものがある場合，Windows 2000はそのファイルをCD-ROMからではなく「\WINNT\ServicePackFiles\」というフォルダからコピーする。

　Windows NTまで，Windowsコンポーネントは「OSのCD-ROMがリリースされた時点の状態」でインストールされていた。これがWindows 2000以降は「サービス・パックがリリースされた時点の状態」で追加インストールされるようになっているのだ。

　しかし，通常の修正パッチや修正パッチの集合体であるロールアップ・パッケージは，この「バージョン維持」の対象ではない。Windows 2000 SP5がリリースされた場合，Windowsコンポーネントを追加するとSP5の状態でインストールされることが期待されるが，SP4にロールアップ・パッケージを適用したシステムの場合は，SP4の状態で追加インストールされてしまうだろう。

　例えば現在，最新のパッチまでを適用した状態のWindows 2000に，Windowsコンポーネントの1つである「WINS」を追加すると，WINSはセキュリティ・ホールが残った状態でインストールされてしまう。SP4のリリース後に，WINSのセキュリティ上のぜい弱性が発見されて，セキュリティ修正パッチがリリースされているためだ。SP4以降のパッチをすべて適用しているシステムでも，パッチを再適用しなければならない。こういう事態をなくすためにも，Windows 2000 SP5が必要である。

　以上は，日経Windowsプロ本誌や日経Windowsプロが主催するセミナーにて，日本ヒューレット・パッカードの瀧澤俊臣ミッション・クリティカルサポートセンター本部コンサルタントが，再三警鐘を鳴らしている内容である。弊誌の力不足もあり，多くのシステム管理者にまだ知られていない。改めて注意を促したい。