●システム管理者にとって,多数のクライアント/サーバー機のセキュリティ確保は大切な仕事だ。Microsoft Baseline Security Analyzerはぜい弱性をチェックし,マシンに適用されたパッチ*の種類を管理するツールである。新版では日本語環境に完全対応した。
●無償で提供され,予算的に資産管理ソフトなどを導入できないユーザーや個人ユーザーにも向く。

図1●MBSA 1.2日本語版の画面
新版でメニューの日本語化,およびチェック用データベースの日本語対応がなされた。OS以外に,Officeや新版のサーバー・アプリケーションのチェックにも対応した。パスワードやIE,Windowsなどの設定に関するぜい弱性も指摘する。
図2●MBSAの設定画面
検査対象のマシンは,ドメイン名やIPアドレスの範囲で指定する。
図3●Windows Update Servicesと連携したセキュリティ対策
マイクロソフトが提供するMBSA(Microsoft Baseline Security Analyzer)とWindows Update Services(WUS,旧名称Software Update Services 2.0)を組み合わせれば,WUSで配布したパッチが正しく適用されているかどうかをMBSAで確認できる。WUSは年内に提供開始の予定。
 2003年に大騒動となったSQL Slammerやブラスター(Blaster)ワームの出現により,システム管理者の多くは修正プログラム(パッチ)の適用を徹底する重要性を痛感しただろう。例えばパッチ未適用のマシンがSlammerに感染すると,ネットワークのトラフィックが高くなるなど社内システム全般にも悪影響を与えてしまう。

 そんな中,マイクロソフトは2004年1月にWindowsマシンのセキュリティに問題がないかを検査するツール「Microsoft Baseline Security Analyzer V1.2(MBSA 1.2)」を公開した(図1[拡大表示])。同社のサイトから無償でダウンロードできる(URLはhttp://www.microsoft.com/japan/
technet/security/tools/mbsahome.asp
)。

 MBSAの主要な機能は,ネットワーク上のWindowsマシンに対するパッチ適用状況の確認と設定上のぜい弱性チェックの2つだ。MBSAは以前から提供されていたが,日本語環境に完全には対応していなかった。Windows OS以外にも,Internet Explorer(IE)やMedia Player,サーバー・アプリケーションのInternet Information Services(IIS)やExchange Server,SQL Serverなどをチェックできる。さらにローカル・マシンに限定されるが,Office製品(Office 2000以降)にも新たに対応した。

Windowsのぜい弱性を洗い出す

 MBSAの利用には,プログラム本体とパッチ・プログラムの情報を持つデータベース・ファイルの2つが必要になる。データベースはXML形式のファイルとしてマイクロソフトのサイトから自動でダウンロードされる。プログラム本体は,既に正式版がダウンロードできる。記事執筆時点では,データベース・ファイルがまだベータ版の段階だ。5月初旬には正式版となる予定である。

 MBSAを使用するには,従来Active Directoryが不可欠だった。新版ではその制限がなくなり敷居が低くなったが,検査にはドメインか各マシンのAdministrator権限が必要だ。ある程度ユーザーが多い企業では,Active Directory環境のほうがMBSAを利用しやすい。

 使い方は,メイン画面左側から起動するウィザードに沿って操作するだけなので非常に簡単である。初めに検査対象が「単一のコンピュータ」か「複数のコンピュータ」かを選択する。複数のコンピュータを対象にする場合は,[ドメイン名]か[IPアドレス範囲]を指定する(図2[拡大表示])。最後に[スキャンを開始する]をクリックすればよい。

 パッチが適用されているか否かの判定は,(1)レジストリの値,(2)更新されたファイルのバージョン,(3)同ファイルのチェックサム――で確認する。このため,パッチの適用に失敗したマシンも高い確度で判定できる。検査結果はMBSA上で閲覧できるほか,XML形式のファイルとして保存できるので再利用が容易だ。特定パッチの未適用マシンをリストアップするなど,XMLファイルを基に各種の集計処理が可能なスクリプトがTechNetのサイトで公開されている。

WUSやSMSと連携して堅牢なセキュリティ対策を施す

 マイクロソフトは現在セキュリティ対策の一環としてWindows Update Services(WUS)のベータ・テストを実施中だ。WUSは従来Software Update Services(SUS)2.0と呼ばれていたもので,ユーザーのネットワーク環境内にパッチ配布サーバーを設置するのに使う。

 MBSAとWUSを連携動作させると,より強固なセキュリティ管理が可能になる。例えばWUSはマイクロソフトのサイトからパッチをダウンロードするWindows Updateとほぼ同じ機能を提供するが,企業ユーザー向けに変更されている点がある。Windows Updateではすべてのパッチ(重要な更新)を適用しようとするが,WUSを使うことで適用するパッチをシステム管理者が取捨選択できる。MBSA 1.2は,その選択内容を引き継いでパッチの適用状況を判断する(図3[拡大表示])。

 「Systems Management Server(SMS) 2003」との連携も強化された。SMSはパッチを強制的に適用する機能を含むマイクロソフト製のシステム管理ツールである。SMSにFeature Packを当ててMBSAと組み合わせれば,SMSの管理コンソールからMBSAの検査結果を確認できる。

(茂木 龍太)