Windowsユーザーのためのワンポイント・レッスン　第37回

SP2関連情報の氾濫を考える

豊田孝

2004.08.28

　本原稿を執筆している2004年8月25日現在，Windows XP用のService Pack 2（SP2）は一般公開されておりません。また，SP2の一般公開スケジュール自体もはっきりしていません。

　しかし，すでに多量のSP2関連情報がさまざまなWebサイトで公開されています。今回は，すでに公開されているいくつかのSP2関連ドキュメントを検討し，私たちはそれらのドキュメントから何を学んでおけばよいのかを考えてみることにします。また同時に，どのドキュメントが必読ドキュメントであるのかを考えます。それでは早速，SP2関連ドキュメント内容を見てみましょう。

SP2とはそもそも何なのか

　このページでは，SP2リリース・ノートという資料を公開しています。本来，リリース・ノートはリリースする実際のソフトウエアに付属して配布するものだと思いますが，おそらく，参考のために，先行公開されたものと思われます。このリリース・ノートには，Windowsシステム・レジストリの編集方法，SP2インストールによって解決される問題，SP2が内部に抱える新たな問題（つまり，既知の問題）などが紹介されています。このような単純な事実を（強引に）一般化すれば，次のようになるでしょう。

SP2とは，Windowsシステム・レジストリを変更するソフトウエアである
SP2とは，従来の問題を解決するソフトウエアである
SP2とは，固有の，新しい問題をいくつか含んでいるソフトウエアである

　リリース・ノートの内容をこのように単純化してみると，SP2の性格がはっきりします。正式版SP2の一般公開前に多量のSP2関連情報が公開されている理由がなんとなく分かります。

　パソコン・メーカーや企業内のネットワーク管理者などは，その責任上，SP2を評価するための時間が必要，ということだと思います。このリリース・ノートには，SP2を活用するためのツール類も紹介されていますから，一度は目を通しておきたいところです。

SP2が解決する問題とは何か

　SP2は，これまで発見されている各種の問題を解決する役目も担っています。この公開資料は，SP2が解決している（といわれる）問題をリストとして整理しています。

　筆者は修正対象となっている問題の多さに驚くとともに，「パソコン・メーカーの担当者や各組織内のネットワーク管理者はさぞかし大変だろうなぁ」と同情せざるをえません。前回触れたように，SP2を適用することは，Windowsシステム・データベースを変更することです。データベース変更後の動作確認にはかなりの時間がかかるのは自明の理です。

　修正される問題のリストを見ると，「[MS03-039] RPCSS サービスのバッファ・オーバーランにより，攻撃者によって悪質なプログラムが実行される」という問題へのリンクが張ってあります。リンクをクリックしてみると，問題が詳しく解説されています。最初から最後まで読破するのはたいへんな作業です。

　前回触れたように，ネットワーク管理者やソフトウエア開発者は，解説されている問題解決内容をソフトウエア化し，それを後々のために蓄積したおきたいと望むものです。こうした希望を察知したかどうかは分かりませんが，[MS03-039]に関するこのようなサンプル・コードが用意されています。筆者も目を通してみましたが，本連載の知識があれば，簡単に理解できるコードです。お時間のあるときに，ぜひ検討したいところです。

　プログラミングは，自分の考えている内容を整理し，その正当性を実証するものです。この意味では，プログラミングは本来楽しいものだと思います。ネットワーク管理者用のプログラミング教材としては，スクリプト・センターが有名です。簡単なサンプル・スクリプト・コードが多数用意されていますから，ぜひ活用したいところです。サンプル・コードはすべて小さなものですから，手の空いたときに実行し，表示結果とソースコードを比較検討してみるとよいでしょう。

　なお，修正される問題の詳しい内訳に興味のある方は，該当Webページを参照してください。基本的な対策は，使用する予定のない機能をWindowsインストール時に自分のマシン内に組み入れないことだと思います。組み入れてしまっている場合には，時間のあるときに自分のシステムを調査し，不要な機能は削除してしまうことが大切だと思います。

SP2用セキュリティ分析ツールについて

　SP2は，このページでは，「Windows XP Service Pack 2 セキュリティ強化機能搭載」と表現しています。この表現を単純に解釈すれば，SP2ではいろいろなセキュリティ強化対策が導入されていることになります。ここで多くの人は「SP2インストール後のセキュリティ設定情報を効率的に収集するツールが利用できればよいのだがなぁ」，と望むことでしょう。

　そのようなツールは用意されています。このページを見ると，Microsoft Baseline Security Analyzer（MBSA）が，SP2出荷にあわせるように，バージョンアップされています。このページ自体は英語ですが，日本語版のMSBAもダウンロード可能です。自分のシステムのセキュリティを確保する視点が得られますから，一読しておいた方がよいでしょう。例えば，SP2から導入されるWindowsファイアウオールの設定などもチェック対象となるようです。

　さらに，このページでは，MBSAツールの操作を自動化するサンプル・スクリプト・コードも紹介しています。このコードはJavaScriptのMicrosoft版であるJScriptで記述されています。サンプル・コードを多少時間をかけて自分なりに理解してしまえば，SP2のセキュリティ強化策とMBSAの使い方を整理できます。サンプル・コードはMBSAバージョン1.2用のものですが、MBSAバージョン1.2.1用に改善することも可能です。正式版SP2出荷後に本連載でサンプルコードを紹介する予定です。

図1●No24.vbsサンプル・プログラムを実行し，表示されるClickボタンをクリックすると表示されるWebページ

今回のサンプル・プログラム

　筆者は，自作プログラムを作り，自分が考えている内容を整理する重要性を指摘しました。また，教材となるサンプル・コードを公開するWebサイトも紹介しました。日々作業に追われるネットワーク管理者にとっては，プログラミング技術の習得はかなりの負担となることは重々承知しています。しかし，目的の機能を持つプログラムを一度自作すれば，それまで漠然と理解していた技術内容が頭の中ではっきり整理されます。表現を変えれば，自作プログラムを1つ完成させれば，それだけ実力がつく，というわけです。ここで具体的な例を1つ紹介しておきましょう。

　今回紹介するサンプル・プログラムは新しく作成したものではありません。連載第29回では，連載第24回で紹介したNo24.vbsサンプル・プログラムを実行しました。そのサンプル・プログラムは，現在適用されている修正パッチ情報を収集する機能を持っています。

　第29回連載記事を振り返ると分かりますが，プログラムを実行すると，KB811113というSP2の内部番号を持つClickボタンを作成します。記事を公開した6月26日の時点では，Clickボタンを押しても該当ページが表示されてませんでした。ところが，2004年8月25日現在，No24.vbsサンプル・プログラムを実行し，表示されるClickボタンをクリックすると，図1[拡大表示]のようなWebページが表示されます。そうです。先ほど紹介したSP2に含まれる修正一覧です。筆者はこの変化を目の当たりにしたとき，次のような結論を得ました。

「SP2関連ドキュメントは多量に公開されているが，最初に読むべきドキュメントはこれだ！」

　サンプル・プログラムは第29回連載ページからダウンロードできますから，ぜひ自分の環境で実行し，Clickボタンをクリックしてみてください。