Internet Watch logo
記事検索
バックナンバー
(10)Web閲覧だけで感染するウイルス対策を考える
[2004/1/9]
(9)セキュリティ修正パッチ適用のススメ(後編)
[2003/12/19]
(8)セキュリティ修正パッチ適用のススメ(前編)
[2003/12/12]
(7)人間の対策はできているか
[2003/12/5]
(6)サービスの取捨選択を
[2003/11/28]
(5)モバイルPCの危険
[2003/11/12]
(4)LAN内部からの汚染をさせない工夫~穴になりやすい無線LAN
[2003/10/29]
(3)汚染エリア・クリーンエリア、切り分けのススメ
[2003/10/24]
(2)パーソナルファイアウォールのススメ
[2003/10/15]
(1)Blasterの教訓からウイルス対策を考える
[2003/10/10]

新しいウイルス対策を考える

(8)セキュリティ修正パッチ適用のススメ(後編)

TEXT:大和 哲

セキュリティ設定を確認する

 ここまでBlasterタイプのウイルス対策を行なってきたわけだが、この連載でも書いてきたようにセキュリティ対策をしようとするとやるべきことは非常に多岐にわたり、また煩雑な作業も多い。そのためか、意外とユーザーがやったつもりで忘れてしまうことや、そもそも誤解してしまい必要なセキュリティ対策ができてない、ということが多い。

 たとえば、よく聞く誤解の1つに「Windows Updateの自動更新機能は、これさえやっておけば、セキュリティ修正パッチは全て当てられる」というものがある。

 Windows Updateの自動更新機能は、マイクロソフトが「重要な更新」としたもの以外はネットワークからダウンロードされない。のみならず、自動更新を設定する以前に提供された重要な更新もダウンロードされない。つまり、Blaster級ウイルスの再発が危惧されたセキュリティホールの修正プログラム「MS03-039」があるが、これから自動更新を設定しても、この修正プログラムは自動ダウンロードは行なわれないのだ。

 自動更新設定前にリリースされた更新を確実にインストールするためには、Windows Updateサイトを利用して更新のスキャンを行なう必要がある。

 適用漏れを防ぐためにも、できるだけ定期的に、他にダウンロードすべき更新が残っていないか、Windows Updateサイトで適用していない更新の有無を確認するほうがいいだろう。

 また、Windowsにはシステムのセキュリティ修正パッチが漏れなく適用されているか、システム脆弱な部分がないかを総合的にチェックしてくれる強力なツールも用意されている。MBSAやHFNetChkといったツールがそれだ。

Windows Updateサイトでの、インストールする更新のチェック。自動更新を設定したときなど、ここで更新漏れがないかチェックしよう



MBSAとは

 Microsoft Baseline Security Analyzer(MBSA)はマイクロソフトから提供されている、セキュリティツールだ。現在、バージョン1.1.1がマイクロソフトのサイトから無償で配布されている。

 このツールはWindows XP/2000、Windows 2003 ServerなどでWindows UpdateやHotfixで配布されているセキュリティ修正パッチが適用済みかどうか確認し、また、同時にシステムに脆弱な部分がないか、たとえばパスワードなしのアカウントがないか、必要のないサービスが起動していないかなどもチェックすることができる。なお、残念ながらWindows 98/Meには対応していない。

 このMBSA以外にも、セキュリティ修正パッチのチェックプログラムとしてマイクロソフトからHFNetChkが配布されていたが、MBSAは機能的にはHFNetChkが行なっていたパッチチェック機能と同等の機能を含む上、従来コマンドラインツールであった部分がGUI化され、さらに使いやすくなっている。なお、HFNetChkのほうが使い勝手が良かったという方向けには、HFNetChk 形式のスキャンオプションも存在し、スキャン結果はコマンドプロンプト表示ウィンドウにテキストとして表示することも可能だ。

 MBSAは、現在のところ英語版しか存在しないが、ツール自体は日本語Windowsにも対応しており、問題なく利用できる。また、ダウンロードページには日本語でオプションなどの一覧が掲載されているほか、マイクロソフトのTechNetにも日本語での解説や簡単なQ&Aなども掲載されているので、これらを読めば一通りの使い方がわかるだろう。

MBSAの日本語解説ページ。MBSAの現行バージョンは英語版しかないが、日本語による解説ページがある。また、次バージョンでは日本語化されたものがリリースされる予定だ

 なお、このMBSAだが、近日リリース予定になっている次バージョンの1.2では、操作画面、実行結果、ヘルプも全て日本語表示となる日本語版がリリースされるようだ。現在、次バージョン1.2のβ版配布がテスター向けに始まっているが、すでに現時点でヘルプも含めてかなりの部分で日本語化が完了しているということだ。また、マイクロソフトでは、そのほかにもパッチ管理ツールとして「Software Update Services(SUS)」や有料の「Systems Management Server(SMS)」を提供しているが、対象は中小企業においてはSUS、エンタープライズにおいてはSMSを想定しているという。



MBSAを使ってみる

 現時点でリリースされているMBSAを使ってみよう。普通にGUIを使って、PCに現在残っている脆弱性をチェックするだけであれば操作にそう難しい点はない。

 ダウンロードしたmsiファイルをPCにインストールし、設定用のXMLファイルをダウンロードディレクトリにコピーしてから、起動する。

 最初に表示されるWelcome画面で、「Scan a computer」を選択すると、ネットワーク上のコンピュータ1台をチェックできる。自分の使っているPC1台だけをチェックするときもこれを選択する。

 「Pick a computer to scan」画面では、対象にするコンピュータを指定する。Computer name欄に、ドメイン・ワークグループ\コンピュータ名形式で指定するか、IP adress欄にIPアドレスを入力する。Options欄では、チェックするセキュリティ項目を指定する。

check for Windows vulnerabilitiesWindowsの脆弱性のチェック
check for weak passwordsJOEパスワードや解読されやすいパスワードのチェック
check for IIS vulnerabilitiesIIS(Webサーバ)の脆弱性のチェック
check for SQL vulnerabilitiesSQLサーバの脆弱性のチェック
check for securityupdatesセキュリティ修正パッチのチェック
use SUSSUSを使う

 ちなみに、SUSはセキュリティ修正パッチを置くWindows Updateサーバーをイントラネット内に置く、というもの。クローズドなネットでもWindowsのセキュリティ修正パッチの配布が可能になる、サーバー側でクライアントに当てるパッチの取捨選択ができるなどの利用メリットがある。

検査したいPCのPC名かIPアドレスを入力し、「Start scan」をクリックするとセキュリティチェックが始まる

 デフォルトではWindows vulnerabilities、weak passwords、IIS vulnerabilities、SQL vulnerabilitiesにチェックが入っている。IISなどはPCにインストールされていなければチェックを外してもいいだろう。その後、「Start scan」をクリックすれば、MBSAのスキャンしたセキュリティレポートが表示される。

MBSAのスキャン結果の表示画面。Winowsパッチなどのチェック結果が表示される(ただし、日本語版Windowsと英語版Windowsのパッチバージョンの違いか、一部「古いパッチ」という表示が出ることもある。次バージョンでは改良されるだろうか

 Score欄に×が付いているものはセキュリティ上問題があるもの、パッチの適用漏れなどだ。「Result details」をクリックすると、セキュリティ上問題である点について詳細な説明が表示される。

 MBSAの便利な点は、同じ1台のPCだけでなく、同じネットワーク上のコンピュータもチェック可能なことだ。対象コンピュータの管理者権限があれば、ドメイン名指定でドメイン内のコンピュータが、またIPアドレスの指定では指定範囲、たとえば192.168.0.2~192.168.0.31までのコンピュータについて調べる、といったことができる。

 前回、セキュリティ対策を面倒がるメンバーが1人いるだけで、そこがセキュリティ上の穴になり、LAN内のコンピュータがウイルス感染の危機に直面してしまう、いわゆる「人の面でのセキュリティホール」について解説した。

 それに対して、罰則を規定したセキュリティポリシーやセキュリティ標準を作成し、守らせることで穴を埋める対策とした。しかし、人間のやることだからミスも起こり得るし、モラルや規律に任せても守られないというのはよくある話だ。おそらく、セキュリティポリシーを浸透させても、100%全員にセキュリティ修正パッチを当てさせるのは難しいだろう。

 しかし、MBSAを使えば、組織内の管理者さえその気になればドメイン内のコンピュータ全てのセキュリティ修正パッチが当たっているかを確認することができる。さらにSUSサーバを使えば、さらに進んでドメイン内のクライアントに一括してセキュリティ修正パッチを管理者が当ててしまうということも可能だ(ただし、SUSに関しては、Active Directoryでクライアントを管理しなければならないなど、多少敷居が高い問題がいくつかある)。

 人の面のセキュリティホールはモラルだけに頼るのではなく、このようなシステムでできるだけ確実に救うのも、コンピュータを使う人間としては考えてみるべきだろう。

(2003/12/19)
関連情報

URL
  Microsoft Baseline Security Analyzer (MBSA) 1.1.1 のリリース
http://support.microsoft.com/default.aspx?kbid=320454
  Systems Management Server 2003
http://www.microsoft.com/japan/smserver/
  Software Update Services
http://www.microsoft.com/japan/windowsserversystem/sus/


大和 哲
1968年生まれ東京都出身。88年8月、Oh!X(日本ソフトバンク)にて「我ら電脳遊戯民」を執筆。以来、パソコン誌にて初歩のプログラミング、HTML、CGI、インターネットプロトコルなどの解説記事、インターネット関連のQ&A、ゲーム分析記事などを書く。兼業テクニカルライター。ホームページはこちら
(イラスト : 高橋哲史)

- ページの先頭へ-

Internet Watch ホームページ
Copyright (c) 2003 impress corporation All rights reserved.