「マイクロソフトが現在提供しているパッチ適用状況のチェック・ツールHFNetChkは非常に古いバージョンなので,あまり使うべきではない」--。米Microsoftからセキュリティ分野のMVP(Most Valuable Professional)を受賞しているデジタルフォレストの山本謙次 ITソリューション部 システムエンジニアはこう語る。
現在提供されているHFNetChk 3.32が公開されたのは2002年2月4日。1年以上もバージョンアップが止まっている。パッチの適用状況を検出できるOSやアプリケーションの種類が少ない,Internet Explorer(IE)やSQL Serverなどで正常に検出できないことがあるなど,「機能の限界があちこちに見られる」(山本氏)。
そこで山本氏は,HFNetChkの開発元でもある米Shavlik Technologiesが提供する「HFNetChkPro 4.0(有償)」または「HFNetChkLT 4.0(無償)」の使用を推奨している。HFNetChkPro/LTはHFNetChkのGUI版で,パッチ適用状況の検査から自動配布までに対応したツール。IIS(Internet Information Server/Services)やSQL Serverだけでなく,Exchange ServerやWindows Media Player,MDAC(Microsoft Data Access Components),Officeなどにも対応する。もちろん,マイクロソフト日本法人が公開している脆弱性データベース(最新のパッチ情報をまとめたXMLファイル,以下XML DB)がこれらのソフトウエア製品に対応していなければ厳密な検査はできないが,「HFNetChkの古いバージョンを積極的に使う理由は何もない」(同氏)。
無償のHFNetChkLTを使う場合は,パッチ配布は50台まで。検査だけであれば台数に制限はない。GUI画面では英語版のXML DBを使わなければうまく動作しないが,コマンド・ラインで使えば日本語版のXML DBでも検査可能である。山本氏の場合,日本語版と英語版の両方のXML DBを使って毎朝検査を実施し,結果をメールで受け取る仕組みを自社内で構築,運用している。
なお,マイクロソフトでは今後,パッチの適用状況だけでなく,セキュリティ上問題となる設定の有無なども検査できるMBSA(Microsoft Baseline Security Analyzer)の使用を推奨していく予定である。HFNetChkの更新が止まっているのは,これが原因と思われる。しかし,現在提供されているMBSA 1.1は日本語環境には対応していない。MBSA 1.2から日本語版を提供する予定だが,時期は未定である。
