第一回IT資産・ソフトウェア管理分科会(東京) 議事録
| 第一回IT資産・ソフトウェア管理分科会(東京)
議事録 |
| 日時: |
2003/8/27(水) 15:00〜18:00 |
| 会場: |
クオリティ(株)6F会議室 |
| テーマ: |
「緊急レベルのセキュリティパッチ公開続出!効率的なセキュリティパッチインストールとは」 |
| 講師: |
アップデートテクノロジー(株) 代表取締役 能祖裕樹 氏 |
| 発表内容: |
〜パッチインストールツール/UpdateEXPERTのご紹介〜 |
| 司会・進行: |
IT資産・ソフトウェア管理分科会 座長 ソニーテクノクリエイト(株) 山司澄夫 氏
IT資産・ソフトウェア管理分科会 副座長 カシオ計算機(株) 川合久美子 氏 |
|
| ※以下、当分科会の運営方針により、個人/会社名を特定できる発言の公開は控えさせていただいております。ご了承ください。 |
| ■ |
プレゼンテーション 発表内容は資料をご参照ください → 参考資料(pdf 1.47MB) |
| ■ |
質疑応答 |
| |
| Q: |
管理対象となるPC情報はどうやって収集するのか? |
| A: |
ネットワークをブラウズし、DomainとPCの一覧を取得。
管理共有(Admin$,IPC$)を利用し、OSがインストールされているフォルダのdll情報や、レジストリ情報の値を取る。HotFix情報の場所等は、全てDB化されている。 |
| |
|
| Q: |
Pullで運用せざるを得ない環境なのだが、Pull運用は可能か? |
| A: |
Push運用のみとなっている。 |
| |
|
| Q: |
PCに電源が入っていない場合は? |
| A: |
認識できない。ActiveDirectoryを参照可。Hotfix適用状況の情報取得はPUSH運用のみから。 |
| |
|
| Q: |
UpdeteExpertの利用はNetBEUI上では出来るか? |
| A: |
出来ない。TCP/IPとNetBiosが必須となっている。加えて、タスクスケジュール/リモートレジストリサービスの稼動が条件。 |
| |
|
| Q: |
対象OSにWin9x系は入るか? |
| A: |
NT系のみとなっている。 |
| |
|
| Q: |
Win9X系のIEがセキュリティの対象の場合は? |
| A: |
それ以前にWin9xOSの情報が取れないので対応不可能。 |
| |
|
| Q: |
英語版WindowsOSは同じ様に管理の対象となるか? |
| A: |
英語OSには対応していない。StBARNERDSoftware(US開発/販売元)から別途英語版を購入する必要有り。75ライセンスから販売。 |
| |
|
| Q: |
標準OSにNT4.0があり、パッチが有償となっている。このようなパッチも対象となるか? |
| A: |
MSサイトにアップされる無償版のみが対象。全てパッチはMSのサイトを参照している。 |
| |
|
| Q: |
パッチ適用時にユーザのLOGOUTは必須か? |
| A: |
しなくても良いが、強制的に再起動をかける場合などは、作成中のアプリデータが保存されない等の危険があるのでLogoutを推奨する。 |
| |
|
| Q: |
特定のDll(ODBC32.dll)の有無によって適用を判断するパッチがあるが、UpdateExpertでDllの有無などを認識できるか? |
| A: |
UpdateExpertでDllの有無などを認識できるか? |
| |
|
| Q: |
UpdateExpertからHotfixを当てたときの再起動チェックを外せるか?または再起動をせずにPCを使用させることは出来るか? |
| A: |
強制再起動の設定を解除することも可能。但し、再起動しないとHotfixのdllは置き換わらないため注意が必要。 |
| |
|
| Q: |
HDの容量のチェックは? |
| A: |
できない |
| |
|
| Q: |
メッセージを出す機能はあるか? |
| A: |
メッセージを走らせる事は出来るがスケジュールに基づいての表示は出来ないため、パッチのインストールと同期が取れない。 |
| |
|
| Q: |
複数ドメインにまたがってのネットワークでのUpdateExpertの運用は? |
| A: |
管理ドメインから、別のドメインのPCへは配布できない。UpdateExpert用管理の統一アカウントを登録することで、別ドメインあるいはワークグループであっても運用可能。 |
|
| ■ |
ディスカッション |
| |
| ★ |
パッチ適用時にはどのような検証が必要か? |
| |
PCをNTWorkstationとXPに統一。キッティングして現場に提供している。
アプリ動作検証のため、アプリ製作者に納期2週間で検証させている。それでもバッティングするアプリあり。
今回はそのアプリバッティングの検証を行っているうちに今回のBlaster騒ぎへの対応をしなければならなくなった。
現在はパッチ適用のサイクルは2回だが、今後増やさなければならないだろう。 |
| |
|
| ★ |
パッチ適用は、管理者主導?ユーザ依存? |
| |
・Blaster実被害30台。外からのアタックを受けない環境を作った上で最低限のセキュリティ関係の情報を与えて自分達で対応させている。
・自由に管理させている。気にしている人はHotfixを当てている。自分で出来ない人はオンサイトで対応しているが、個別に自分達でパッチを当てるよう奨励。
・PCを各部署で勝手に調達しているので環境がばらばら。アナウンスを出し、ユーザ作業に任せているが、
役員のPCなどは出向いて手作業であてている。
・アナウンスはEメールとイントラのPortalサイトのトップページ。Portalは業務上閲覧が必須となっている。しかし、理解できているかどうか、その反応は分からない。
・Admin権限を持ったユーザはスキルが高く、セキュリティ意識も高いと判断し、適用を個人に任せていた。しかし、結果として感染したPCはこれらのユーザのPCであった。
・QNDでPC管理、運用を行っている。パッチを強制配布し、作業は短時間で終了した。 |
| |
|
| ★ |
サーバに対するパッチ適用について |
| |
・クライアントPCには適用したが、サーバには様々なシステムが入っているため、簡単にはいかない。
・不具合が起きたときのためにバックアップを取らなくてはならないので、やるとすればかなりの労力を必要とする。
・NTサーバに対しては緊急の場合は行っている。ServicePackの適用も行う。
・PCを管理している部門管理者に信用して任せたが甘かった。反省材料。 |
| |
|
| ★ |
セキュリティ管理者について |
| |
・セキュリティ診断を外注して(半年に1度抜き打ち)、それに基づきシステム管理者のスキルをランク付けする。
システム管理者の教育はどうしているか?
→パッチの当て方が分からない、Windowsのアラートが出ても操作を避けるというレベルのユーザが実は多い。
→業務以外でPCを使うケース
→私用PCの持込について |
| |
|
| ★ |
感染した後の処置について |
| |
・危機管理マニュアルを作成。感染した場合には、直ちにケーブルを抜くことになっている。
・ウィルスに感染した場合、懲罰(始末書、訓戒処分)が課せられることになっている。 私物PC持ち込みも懲罰の対象。 |
| |
|
| ★ |
モバイルPCの管理について |
| |
・イントラ参加時に、パターンファイルの更新がされていないPCに対して警告を出す、あるいは、DHCPサーバのMACアドレス認証により、許可されたPCしかネットワークに繋がせない、という運用を実施している企業がある。 |
| |
|
| ★ |
修正パッチ適用の基準は? |
| |
・特になし
・基幹システムが止まらないこと |
| |
|
| ★ |
修正パッチをあてたことによるリスクへの対応 |
| |
・CAD系のアプリに関してはメーカーに問い合わせるが、いつでも元に戻せるようにアーカイブ化。サンプルで1台インストールして検証。 |
| |
|
| ★ |
IT資産管理をキチンとしてますか? |
| |
・QNDをHotfix未対応PCのチェックのために使っている。対象者の割り出しで今回のBlaster騒動を切り抜けた。
・Hotfix、MS03-023はPushで配布を実施。33台不明のPCが出てきた。どこまで追いかけることができるか、現在トレース中。
・パターンファイルの更新を、週1回実施。ネットワーク負荷を考えて5グループ/45分間隔でPush運用を行っている。管理対象者のうち95%成功。必ず数%は失敗する。その達成率をどこまで許容するかで管理コストが変わってくる。ログを記録し、対象者と直にコミュニケ―ションを取っている。 |
| |
|
| ★ |
まとめ 座長より |
| |
・何の作業を行うにしてもPCの現状を正確に把握することが大事。
・迅速に対応するにはツールをうまく使いこなすこと。
・ここまで達成出来ればいいという見極めをシステム管理者は持つこと。 |
|
| ■ |
補足 |
| |
QNDを使ったBlaster対策事例の紹介:http://www.quality.co.jp/products/QND/QND_solution/blaster_regedit.html
・レジストリに書き込まれた値を削除。結果駆除作業を行ったという事例報告ほか。 |
|
