●マイクロソフトが今年後半に提供するWindows Update Services(WUS)は,修正モジュールを社内で配布するためのWindows Serverの追加ソフトである。
●Software Update Servicesの後継で,OS以外の修正モジュールも配布できるようにした。パッチ適用状況の管理も容易にしている。
●セキュリティ対策の1つとして,修正モジュールの適用は管理者にとって重要な作業になっている。WUSは,この作業を手助けする有用なソフトだ。
| ||
| ||
| ||
|
Officeやサーバー製品のパッチも配布
現在のSUS 1.0は,マイクロソフトがインターネット上で公開しているWindows Updateサイトを社内に構築するためのもの。社内のWindowsマシンをWindows Updateではなく独自のSUSサーバーにアクセスさせることで,修正モジュールの適用を独自に管理できるようにする。
今回のWUSでは,配布するモジュールの対象をSUSよりも大幅に拡大した。従来からのWindows本体に加え,Office(Office XP以降)やMSDE*,Exchange Server 2003,SQL Server 2000の修正モジュールを新たに配布できるようにする。さらに,Windows本体に関してもSUSでは配布できなかった更新・追加ドライバや開発キット,関連ツールを配布できるようにするなど,カバー範囲を大幅に拡大している(図1[拡大表示])。
WUSを導入することで,管理者はより多くのマイクロソフト製品について修正モジュールの適用状況を管理できるようになる。一方,エンドユーザーにとっては,これまでのようにWindows UpdateとOffice Updateのようにいくつものサイトを確認しなくてよくなるのが利点だ。
WUSデータベースに詳細な情報を格納
WUSでは,大幅に増えた配布対象のモジュールの内容を把握しやすいように「WUSデータベース」を新たに用意した。ここには,MicrosoftのTechNet*で提供されている修正プログラムの詳細な説明や提供開始日,再起動必要性の有無,改訂の履歴,注意事項などの情報が格納され,管理画面上で一覧できる(図2)。システム管理者は,それを見ながらどの修正モジュールを適用するかどうかを判断できる。これは,「UpdateEXPERT」などのサード・パーティ製品では既に実現されていたが,今回のWUSでようやく追い付いたことになる。
修正モジュールをダウンロードしてくるスケジュールに関しても,サブスクリプションという設定が可能だ(図3)。SUSでは,対象となる全モジュール(Windows 2000/XPの重要な更新とサービス・パック*)について定期的に監視を行い,公開されたものすべてをダウンロードしていた。しかし,WUSでは,製品や対象OS,更新プログラムの種別,重要度といった情報で分類して個別に監視・取得できる。
例えば,Windows本体の「重要な更新」と「セキュリティ問題の修正プログラム」に関しては毎日チェックするが,「ドライバ」やOfficeの「ツール」の更新情報については週に1度だけにする,といった設定が可能だ。64ビット版など使っていない製品に関しては,そもそも設定をしなければダウンロードさえしてこない。
グルーピング機能で配布を制御
WUSでは,配布先のユーザーをまとめるグルーピング機能が追加されたのも,大きな変更点の1つである。配布するマシンを部署や用途などでグループ化し,この単位で配布する修正モジュールの種類や時間といった条件を設定できる。
これまでのSUSでは,こういった配布条件を設定すると,対象とするすべてのクライアントに適用されていた。しかし,グルーピング機能を使えば,図1内に示したようにAというグループにはAとBというモジュールを,BというグループにはさらにCというモジュールも適用するといった設定ができるようになる。例えば,「メインフレーム用の独自アプリケーションを使っている経理チームには,システムの互換性を十分に検証してから適用したい」といった使い分けができる。
グルーピング機能には,ネットワークのトラフィック*を分散させる効果も期待できる。元々SUSを使えば,社外から修正モジュールをダウンロードする回数が減るというメリットがあった。しかし,マイクロソフトが修正モジュールの公開を基本的に毎月第2水曜日と定例化したため,もし大量の修正モジュールがまとめて公開されると社内LANでトラフィックが集中して,業務に支障をきたす恐れが出てくる。しかし,WUSでパッチの配布開始時間をグループごとに設定すれば,適用する時間を分散させることができる。
MBSAと連携してパッチ管理を強化
WUSでは修正モジュールの配布だけでなく,その適用状況が確認できるようになる。
これまでのSUSでは,Internet Information Services(IIS*)のアクセス・ログを見て,どのユーザーがどのモジュールをダウンロードしたかといった情報を確認するしかなかった。実際にダウンロードしたモジュールがきちんと適用されているかどうかまでは確認できず,管理者としては不安が残る。しかし,WUSでは,パッチ適用チェック・ツールの「Microsoft Baseline Security Analyzer(MBSA)」と連携して,修正モジュールの適用状況を正確に把握できるようにする。
MBSAは,リモートでネットワーク上のWindowsマシンからパッチ適用状況の情報を収集するためにマイクロソフトが無償で公開しているツール(本誌5月号p.20のレポートを参照)。WUSは,このMBSAに,システム管理者が適用指示を出したパッチの情報やグループ情報を提供する。
MBSAが社内のWindowsマシンについて調査する際,これらの情報を利用することで,例えば意図的に配布しなかったパッチについては適用漏れの対象から外されるようになる。また,WUSで設定したグループ単位での適用状況や,修正プログラムごとの適用状況が一覧で確認できる。
利用にはクライアントの更新が必要
WUSは現在のWindowsマシンからそのままでは利用できない。利用に当たっては,修正プログラムの適用対象となるWindowsマシン側の自動更新(Automatic Updates)サービスを,WUS対応の新しいモジュールに入れ替える必要がある。
この新しい自動更新サービスのモジュールはWUSの提供までには公開され,今年夏に提供されるWindows XP Service Pack 2に標準で組み込まれる見込みである。ただし,動作対象はSUSと同様にWindows 2000/XP/2003のみの計画になっている。それ以外のWindowsに関しては,WUSで修正モジュールを配布できないので注意が必要である。
