• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

ITレポート(動向/解説)

Windowsマシンのパッチ適用状況を調べるには?

ヘルプデスク

日経システム構築 2003/10/17 日経SYSTEMS
出典:2003年10月号228ページ
(記事は執筆時の情報に基づいており、現在では異なる場合があります)
目次一覧

Question Windowsを搭載するクライアントPCのパッチ適用状態を,システム管理者が調べる際に利用できるツールにはどのようなものがありますか?

Answer MBSAやHFNetChkLTといったツールが有効です。ただし,Windows95/98/Meは対象外なので,個々にWindows Updateを利用するしかありません


図1●MBSA(Microsoft Baseline Security Analyzer)の仕組み
セキュリティ更新状況が記録されている最新のXMLファイルをダウンロードし,各クライアントPCのレジストリなどと比較することで,パッチ適用状況などが分かる。事前に,専用ソフト(http://www.eu.microsoft.com
/japan/technet/security/
)のインストールが必要
図2●HFNetChkLTでのスキャン画面
MBSAやHFNetChkの開発元Shavlikから提供されている無償のパッチ適用ツール「HFNetChkLT」を使うと,Office製品のパッチ適用状態が分かるほか,10台までパッチを配布することもできる(http://www.shavlik.com/からダウンロードできる)
表1●MBSAがチェック可能なOSやアプリケーション
 今や,アンチウイルス・ソフトの導入だけではクライアントPCを守れなくなっています。2003年8月,Windowsのセキュリティ・ホールを悪用するワーム「Blaster」の被害が拡大したように,Windows搭載のクライアントPCを守る上では,OSなどのセキュリティ・パッチの定期的な適用は欠かせない作業です。

 システム管理者としては,エンドユーザー自身に確実に「Windows Update」を実行してもらうことが理想です。しかし,仮に義務付けたとしても,完全な実施は難しいのが現状です。加えて,クライアントPCを守るには,Windows Updateだけでも十分な対応ができません。Windows Updateでは提供されないパッチもあるからです。

無償ツールが利用できる

 セキュリティ・パッチの適用状況を調べるツールは,有償・無償含めいくつかあります。

 マイクロソフトは近く,「Microsoft Baseline Security Analyzer(MBSA)」というGUIベースのセキュリティ・チェック・ツールの日本語版を新たに無償提供する予定です。提供日は未定ですが,「2003年秋には提供を開始する予定」(同社 広報部)になっています。MBSAはこれまで英語版のみ提供されてきました。開発は米Shavlik Technologiesが行い,最新版MBSA1.1.1には「HFNetChk v3.82」というソフトをエンジンとして搭載しています。コマンド・ラインでHFNetChkを直接利用することもできます。

 MBSA(HFNetChk)の仕組みは図1[拡大表示]のようになっています。マイクロソフトが提供するセキュリティ・パッチなどの更新状況を記録した最新のXMLファイルをダウンロードし,指定されたコンピュータのレジストリ・キー,パッチ・ファイルのバージョン,インストール済みのパッチ・ファイルのチェックサムと比較します。3つのチェックのうち,いずれかが異なる結果であれば,最新のパッチがインストールされていないと判断し,画面に「×」印を表示します。

OSとアプリをチェック

 MBSAでチェック可能なOSやアプリケーションは,表1[拡大表示]の通りです。チェック項目は35項目あり,大きく2つに分かれます。セキュリティ・パッチを適用しているかどうかをチェックするものと,適切なセキュリティ設定になっているかをチェックするものです。後者については,Windowsの設定におけるぜい弱性をチェックし一覧表にして表示します。例えば,(1)ローカル・アカウントのパスワードや,(2)不要なサービスの有無,(3)アプリケーションのセキュリティ設定,などです。(1)では,パスワードが空白であったり,ユーザー・アカウント名やコンピュータ名と同一であったりする場合や,passwordやadministratorという単語である場合などを指摘します。

 ドメイン名を指定すると,ドメイン全体の複数のコンピュータをチェックすることができます。また,IPアドレスで範囲を指定すると,その範囲内にあるWindowsマシンをチェックします。ただし,Windows95/98/Meは対象外となります。

 なお,チェックするには各クライアントPCの管理者権限またはドメイン管理者権限が必要です。

Officeは別ツールで調べる

 MBSAは,Microsoft Office製品については設定のぜい弱性を調べるだけで,パッチ適用状況まではチェックしません。Office製品のほか,JavaVMについてもチェックをしたい場合は,開発元であるShavlik Technologiesから別に提供されている「HFNetChkPro/同LT」が利用できます。無償版であるHFNetChkLT(図2[拡大表示])は,検査だけであれば台数に制限がなく利用できます。パッチ配布も同一ネットワーク上にあるクライアントPC10台まで可能です。

(本誌)

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

ネットワーク/通信サービス

セキュリティ

もっと見る