■企業システムのセキュリティ対策において,クライアント・マシンの修正プログラム(パッチ)の管理がますます重要になってきた。マイクロソフト製品以外に,サード・パーティによるパッチ管理ソフトが相次いで発表されている。

■ここでは米Shavlik Technologiesが開発したセキュリティ・パッチ管理ツール「HFNetChkPro4日本語版」を全4回にわたって紹介する。日本では初めての登場だ(国内販売はネットワールド)。マイクロソフト製品のパッチ管理ツールと異なり,「プッシュ型」と呼ばれるパッチの適用方式を採用している。

■第1回はプッシュ型とプル型の違いについて解説する。


 マイクロソフトは頻繁に,Windowsをはじめとする自社製品の修正プログラム(パッチ)を発表している。中でも月1回発表されるセキュリティ・パッチは重要だ。これを適用せず,セキュリティ上のぜい弱性を放置しておけば,企業システムの根幹にかかわる危機を招きかねない。

 セキュリティ対策において,もはやパッチ管理は,ウイルス対策ソフトにおける定義ファイルの更新や,ファイアウオールの設置に並ぶ,重要事項に浮上している。

パッチ適用をユーザー任せにしない
 Windowsマシンにおけるパッチの適用は,「Windows Update」や「自動更新」といった機能を使って,インターネット経由で個別に行われるのが一般的だ。

 しかし,エンドユーザー任せでは,すべてが適用されているかどうかの確実性に欠ける。また不必要なパッチを適用して,かえってシステムに影響を与えることもある。事前にテストをしてトラブルが起きないことを確認して,選んだものだけを適用するのが万全だ(フィルタリング)。そこで,システム管理者の立場としては,個別にエンドユーザー任せで行われるパッチの適用よりも,集中的に管理したいというのが本音だろう。

 管理下にある全パソコンのパッチ適用状況を調査し,必要に応じてパッチを適用するのがパッチ管理ツールである。これを使えば,(1)パッチの適用状況の把握→(2)パッチの入手→(3)不要なパッチのフィルタリング→(3)パッチの適用→(4)再びパッチの適用状況の把握――といったステップを踏んでパッチを管理できる。

 パッチ管理ツールは,マイクロソフトが無償ツールとして,「Microsoft Baseline Security Analyzer(MBSA)」(分析ツール)と「Software Update Services(SUS)」(適用ツール)を提供している。同社は有償でも「Systems Management Server 2004(SMS)」を出している。また,米Shavlik Technologiesや米St. Bernard Softwareといったサード・パーティからもパッチ管理ツールが出荷されている。

 ここでは,米Shavlik Technologiesの「HFNetChkPro4日本語版」を取り上げる(既報)。HFNetChkPro4は国内初登場の製品だ。Shavlik社は,マイクロソフトの無償ツールMBSAの開発元でもあり,高い技術力が評価されている。

 販売はネットワールドが行い,2004年7月より開始している(該当サイト)。また,HFNetChkPro4は販売元のネットワールドのサイトから評価版が無料でダウンロードできる。なお,記事では評価版を使用しているので,画像などは評価版のものである。


△ 図をクリックすると拡大されます
図1●「プッシュ型」パッチ管理ツールの仕組み

△ 図をクリックすると拡大されます
図2●「プル型」パッチ管理ツールの仕組み

パッチ管理ツールにはプッシュ型とプル型がある
 HFNetChkPro4の特徴は,「プッシュ型」という方式にある(図1)。これに対してマイクロソフトの管理ツールは「プル型」という方式を採用している(図2)。

 プッシュ型では,ソフトをインストールするパソコンは1台でよい。これを管理コンソールと呼ぶ。管理コンソールはインターネットに接続する必要があるが,管理対象マシンはインターネットに接続できなくても,LANに接続されていればよい。

 システム管理者の作業は大まかに次のようになる(図1)。
(1)インターネット上に公開されているパッチ・データベースにアクセスし,パッチの公開状況をダウンロードしておく。
(2)管理対象マシンのパッチの適用状況をスキャンする。
(3)パッチが適用されていなければ,管理コンソールから管理対象マシンに対してパッチをインストールする。このとき必要に応じてパッチ本体をダウンロードする。
(4)必要に応じて管理対象マシンを再起動する。
いずれも,システム管理者の操作する管理コンソールが主体になって作業が行われる。

 一方,プル型では,サーバーに管理コンソールをインストールし,管理対象マシンにエージェント・プログラムをインストールしておく。管理コンソールとエージェントが連携して,パッチを適用するわけだ。プッシュ型との根本的な違いは,管理対象マシンにあるエージェントが主体になること。エージェントが自分のマシンのパッチ適用状況を把握し(スキャン),サーバーにあるパッチをダウンロードしてきて,インストールする(図2)。

 HFNetChkPro4は,MicrosoftのSUSと比較すると,IISが不要であり,導入に対するハードルはHFNetChkPro4の方がはるかに低い。しかも,Windowsだけに限らず,Officeソフトのパッチも扱えることになっている。しかもパッチ適用時にCD-ROM挿入が不要とうたっている。