Enterprise Watch
最新ニュース

「ワークグループでも使えるパッチ管理製品」SUS活用のススメ

~Windows Server World Conference 2004 講演

 9月22日に東京の青山ダイヤモンドホールで開催された「Windows Server World Conference 2004 Windows Server 2003 マイグレーションのヒントをつかむ」(株式会社IDGジャパン主催)において、創報のテクニカルライター、山近慶一氏が「Software Update Service(SUS)活用によるセキュアな環境の維持」と題した講演を行った。


パッチ適用の問題点を解決するためには?

創報のテクニカルライター、山近慶一氏
 パッチがたくさん出てきて困る、というのは、ネットワーク管理者が抱える共通の問題ではないだろうか。さまざまなパッチがあったとしても自分のPC1台ならまだ簡単だが、企業ネットワークにおいて、たくさんあるPCにパッチをいちいち適用していくのはかなりつらい作業だ。また、「数十台、数百台がWindows Updateを一斉に実行した場合、ネットワークがいっぱいいっぱいになってしまう」と山近氏が述べたように、パッチのダウンロードによってネットワークトラフィックが圧迫されてしまう、というのも大きな問題になる。

 さらにパッチ関連では、適用時にAdministrator権限が必要なものが多かったり、実際にどのパッチが適用されているかがわからないために適用漏れを起こしてしまったり、といった問題もあるという。そこで、こうした課題を解決するための手段として、SMS(Systems Management Server)やSUS(Software Update Services)といったシステム側で配布作業を行ってしまうソリューションに、注目が集まってきている。

 このうちSMSは、Microsoft Officeをはじめとするアプリケーション、Service Pack、パッチなどの配布を行えるソリューションで、「配布対象の条件を細かく指定できる、配布サーバーを多段構成にできる、NTドメインを越えたサイト構成を行える、プッシュ型の配布が可能」(山近氏)といった特徴を持つ。また、もともとが資産管理ソフトとしてスタートしたものだけに、ハードウェアを含むインベントリ情報を取得する機能も備えている。

 このようにSMSは多機能な製品なのだが、山近氏は「ドメイン構成やSQL Serverが必要である点など、デメリットも存在する」と語り、アプリケーション配布ならベストに近いとしながらも、パッチ配布のためだけに使うのは大がかりだと指摘する。


ワークグループでも利用できるSUSで行う「適切なパッチ管理」

SUSの基本動作イメージ

SUSサーバー構築の手順と注意事項
 一方SUSはというと、これはパッチ配布専用と用途が限られたシステムであるものの、SQL Serverなどを必要としないため、比較的容易に構築できることが長所だ。階層型のサーバー構成が可能なため、インターネットにアクセスするSUSサーバーは1台に限定し、ネットワークセグメントごとにそれと連携する子サーバーを構築することもできる。

 仕組みとしては、SUSサーバーにダウンロードされたパッチを、Windows XPの自動更新機能をベースにしたクライアントモジュールが引っ張る「プル型」を採用しており、管理者がパッチの中から適用させたいものを選んで許可を与えると、あとはクライアント側がサーバーからダウンロードして適用作業を行うことになる。

 この場合の適用のスケジュールや、どのSUSサーバーからダウンロードするかといった制御は、SUSでもActive Directoryのグループポリシーによって行われるのが基本。しかしSMSとは異なり、ローカルグループポリシーの利用や、直接レジストリを操作することによってもパッチ配信の制御を実現できるため、ワークグループでも問題なく使うことができるという。

 こうした便利な機能を持つSUSだが、欠点は当然ある。たとえば、SUS自身でインベントリ情報を収集できないため、クライアントのパッチ適用状況を監視できないことや、配布対象の指定ができないこと、新着パッチの通知機能がないこと、などがあげられる。しかし山近氏は、「パッチ適用状況の把握はMBSAによってカバーできるし、組織単位(OU)ごとにポリシーを分けることで対応できる」と、先の2点に関してはツールの活用や運用によって対応できるとしたほか、新着パッチに関しては、管理者がこまめに確認すべきと述べた。

 なお山近氏はSUSサーバー構築時に注意すべき点として、1台目のインターネットと直接つながるサーバーには、修正プログラムをすべて適用しておくこと、ポリシーテンプレートファイル(wuau.adm)のデグレードに注意すべき点をあげた。後者のファイルに関しては、SUSがインストールされると古いファイルが上書きされることがあるので、できれば最新のWindows XP SP2のファイルを上書きするとよい、とアドバイスしていた。

 SUSの現行製品、SUS 1.0(SP1)の対応環境は、OSがWindows Server 2003/2000 Server、クライアントがWindows XP/2000(SP2以降)/Server 2003で、サーバー側にはIISとIE5.5以降が必要。また、クライアント側にはサーバーのOSに対応したCALが必要になるほか、Windows XP(SPなし)とWindows 2000 SP2の環境にはSUSクライアントがインストールされておらず、別途適用する必要がある。



URL
  Windows Server World Conference 2004
  http://www.idg.co.jp/wswc/

関連記事
  ・ 福原氏「セキュリティ管理ツールの積極的な利用で管理コストを削減すべき」(2004/03/19)
  ・ Blasterワームで注目されたマイクロソフトの資産管理ツール「SMS」(2004/03/19)


( 石井 一志 )
2004/09/22 19:32

Enterprise Watch ホームページ
Copyright (c) 2004 Impress Corporation All rights reserved.