第一回IT資産・ソフトウェア管理分科会(大阪) 議事録
| 第一回IT資産・ソフトウェア管理分科会(大阪)
議事録 |
| 日時: |
2003/9/3(水) 14:30〜17:30 |
| 会場: |
阪急ターミナルビル 17F さつきの間 |
| テーマ: |
「緊急レベルのセキュリティパッチ公開続出!効率的なセキュリティパッチインストールとは」 |
| 講師: |
アップデートテクノロジー(株) 代表取締役 能祖裕樹 氏 |
| 発表内容: |
〜パッチインストールツール/UpdateEXPERTのご紹介〜 |
| 司会・進行: |
IT資産・ソフトウェア管理分科会 座長 柳原秀基 氏 |
|
| ※以下、当分科会の運営方針により、個人/会社名を特定できる発言の公開は控えさせていただいております。ご了承ください。 |
| ■ |
プレゼンテーション 発表内容は資料をご参照ください → 参考資料(pdf 1.47MB) |
| ■ |
質疑応答 |
| |
| Q: |
WinNTのようにWinUpdateが使えない場合 |
| A: |
UpdateEXPERTはダウンロードサイトを直接参照する為、WinUpdateには影響されない。
ほとんどはダウンロードサイトからダウンロードできる(一部WinUpdateのみ対応のもの有) |
| |
|
| Q: |
サーバに適用後再起動しないといけない問題については? |
| A: |
HotFix適用直後はセキュリティホールは空いたままなので、再起動は必須です。 |
| |
|
| Q: |
UpdateEXPERTを運用する上で外向けに空けるポートは? |
| A: |
通常のFW設定でよい。(昔FTPで提供されているケースがあったが) |
| |
|
| Q: |
インターネットから外れた環境での運用は? |
| A: |
インターネットと接続できる端末からパッチダウンロード。それをLAN内のUpdateEXPERTに持ち込む。
※もっと詳細に準備中。近日中にWebサイトで情報公開の予定。 |
| |
|
| Q: |
出向しているような社員の場合、持ち出しているクライアントPC自体をUpdateEXPERTサーバにして運用できるか? |
| A: |
ネットワークに接続している環境での動作を前提としているので、動作は保障できない。 |
| |
|
| Q: |
SUSとの比較は |
| A: |
無償であるがゆえに運用上のサポートが無い
・必ずサーバーが必要
・AD環境でないと運用しづらい
・インストール結果の確認が出来ない
・サービスパック未対応
(SUSのメリット)
・クライアント端末のセグメントを階層化して親子サーバなどを構築できる
・PULL型で自動化できる |
| |
|
| Q: |
モバイル端末に対してのUpdateについて、接続の仕方によるのでは? |
| A: |
繋がっているタイミングを見計らうなどでしか対応できない。
UpdateEXPERTはNetBios/NetUseなど基本的にはWindowsNetWorkを利用 |
|
| ■ |
ディスカッション |
| |
| ★ |
座長より、『今回のBlaster騒ぎは、皆さんの会社ではいかがでしたでしょうか?』 |
| |
<被害なし>
・NT系が少ない為被害なし。
・WIN98 50%、WinNT 50%にインストールの周知徹底、確認。
・WIN98メイン⇒2000に移行予定(Win2000のセキュリティ問題の為足踏み。)
・ファイヤーウォールで止まり、内部感染は防げた。
・Win2000が少なく被害なし。
・Win2000はほとんど無い。95/98メイン
・WinNTの業務系端末はクローズ環境の為大丈夫だった。
・緊急・重要なHotFixに関しては70台くらいのサーバには適用
・自社ツールでパッチ適用。OS毎の適用準備/検証が大変
・WinUpdateに頼っている。
・QAWなどのツールを使用
→拠点にはリモコンで対応、インベントリ収集で適用状況を確認している。
[課題・悩み]
・Admin権限でのインストールと、実施状況の確認が課題。
・パッチ当てで悩んでいる。
→完了報告はもらっているのだが、本当にユーザはやってくれているのだろうか?
→各部門のOA担当にメールを出しただけ、確認は取れていない。
→パッチ適用は個人任せだが、調べてみるとやっていないユーザーが多かった。
→ほとんど使っていない、月に1回使う、OSの再インストールが頻繁。このような端末にどこまでパッチを当てる必要があるのか?
・業務の関係で、パッチを当ててはいけない端末があり悩ましい
・WAN環境の場合ネットワークトラフィックの問題でダウンロードなどに時間がかかっている。
・拠点兼任のOA担当に任せていると徹底は難しい。
<被害有り>
・グループウェアで告知をしていたが、ユーザー任せの為徹底できていなかった。
・管理者のいない事業所が感染。
・地方の事業所は警告していたが徹底できない。
・2000/XPが少なかった為、感染は少なかった。
・全然パッチ適用してない。当てなくても良いだろうと思っていた。
・何件か感染したが大きな被害は無かった。VPNのPCの感染が目立つ
・Win2000がほとんど。メールにて告知し、各個人での作業。
・MSのHotFixが出る前に被害のあった端末があった。135番をつつかれていた
・メールで告知後ユーザー任せでやっている。確認が出来ないので不安
[対策]
・社内放送でアナウンス
・対策手順書の作成、ケーブルを抜いてからの起動を警告。未対応のものはネットワークに接続させない。
・ITに頼らない緊急連絡網が完備されている→FAXにて告知
・UpdateExpertをダウンロードして試した。検証は15分で完了した。
・メッセージングによる告知をしている企業もあるらしい
・各個人除去等の対策を行った。
・セキュリティを強制的にやるのと同時に、各個人への啓蒙も必要では
・@135ポートを閉じたAQNDを使いパッチ適用状況を確認(あまり適用されていなかった)
先週、今週で告知しながら各個人で対応 |
| |
|
| ★ |
感想 |
| |
座長より
・WinNT/2000の導入状況がまだ低いので、感染しても大きな被害には至っていないケースが多い。
・何らかのツールを使うことも必要ではないか。
能祖氏より
・Win98使用ユーザが多いのは残念。
・Win98は元からセキュリティが希薄なOSで危険なのでリプレイスをおすすめします。 |
|
| ■ |
補足 |
| |
QNDのご紹介
1)セキュリティパッチ名からセキュリティパッチ未適用PCを抽出
2)デスクトップスタンプ機能によるクライアント警告
3)レジストリの削除によるBlaster駆除 |
|
