2002年4月のご挨拶

更新日:2002/4/1

 Windows NT/2000等のセキュリティ確保

WINDOWS NT/2000等のセキュリティ確保

  週のようにWINDOWS、インターネットエクスプローラ等に関する脆弱性が見つかっています。
 今月は、これらWindows等のセキュリティレベルをいかに高く保つかという点について書いてみましょう。
  なお、当方がWINDOWS/NT4.0(以下「4.0」は、省略する。)及びWINDOWS2000を主として使用している関係でそれらを中心に書いていますが、Windows98/Meにも共通する部分は、多々ありますので、参考にしてください。
 (ウイルス対策ソフトについては、ここでは触れませんが、対策ソフトのインストールと日常の更新作業も重要なことです。)

  まず、セキュリティ情報の収集についてですが、いくつかの方法があります。私は、以下の方法を採用しています。
 1.雑誌
 (1)日経Windowsプロ(日経BP社) 月刊誌
   WINDOWS NT/2000/XP関係の情報(特にサーバー)が主体です。
   http://itpro.nikkeibp.co.jp/NT/
 (2)日経バイト(日経BP社) 月刊誌
   WINDOWSファミリーが主体。最近は、ネットワーク関連情報にシフトしています。
   http://nikkeibyte.com/
 両誌とも書店では、販売されていません。日経BP社よりの直接購読です。
 
 2.メールマガジン
 (1)Microsoft プロダクト セキュリティ 警告サービス(日本マイクロソフト社)
   Windows、インターネットエクスプローラ等のマイクロソフト製品に関するセキュリティ情報を配信しています。(随時。無料。)
   申し込みは、http://www.microsoft.com/japan/technet/security/bulletin/notify.asp
   からできます。
 (2)IT Pro-Report(日経BP社)
   IT関連情報を幅広く伝えています。記事の全文は、日経BP社のサイトから読むことができます。
   (ホームページを読むには、登録が必要です。いずれも無料。)
   http://itpro.nikkeibp.co.jp/
  大体、以上の2点で用が足りると思いますが、更に確認したい場合などは、下記を参考にされるとよいでしょう。

 3.ホームページ
 (1)マイクロソフトのセキュリティ情報一覧
   http://www.microsoft.com/japan/technet/security/current.asp
   ここで様々なマイクロソフト製品のセキュリティ情報を一覧できます。
 (2)Winセキュリティ虎の穴
   http://winsec.toranoana.ne.jp/
   Windowsのセキュリティについての情報が得られます。
  なお、WindowsUpdateも馬鹿にはできません。
 限界もありますが、上手に利用すると手間が省けます。
 4.WindowsUpdate
   お手軽にWindows及びOffice製品のアップデートができます。
   ただし、ホットフィックスが出てからこのサイトに上がるまでにある程度の時間が必要のようです。
   また、すべてのホットフィックスが利用できるわけではないようです。
   http://windowsupdate.microsoft.com/

  次にセキュリティ情報から得られた結果の適用ですが、次によっています。
  1.サービスパックは、必ず適用する。
    2002/3時点では、WINDOWS/NTは、サービスパック6aまで、WINDOWS2000は、サービスパック2まで、WINDOWS XPは、サービスパックは、出ていません。
    また、インターネットエクスプローラは、バージョン5.5は、サービスパック2まで、バージョン6は、出ていません。

  2.セキュリティロールパックは、必ず適用する。
    2002/3時点では、WINDOWS/NTは、SRPが、WINDOWS2000もSRPがそれぞれ出ています。
    これらは、後述のホットフィックス(パッチ)をまとめたものです。

  3.ホットフィックス(パッチ)は、重要なものは必ず適用する。
    ホットフィックスは、セキュリティ上、対策が必要な場合に配布される修正プログラムです。
    危険度が「高」のものは、ためらわずに適用しています。「中」、「小」のものは、様子を見てある程度時間が経過してから必要なようであれば、適用しています。
    必要性については、前述の日経BP社のメールマガジンの「今週のセキュリティチェック」などを参考にしています。

  さて、このような種々の修正プログラムをインストールしていると、どの修正プログラムが適用されているか、が十分に把握できなくなります。クライアント数が1台ならともかく台数が増えると極めて困難な課題となります。
 そこで、マイクロソフト社では、点検のためのプログラムを提供しています。
  ただし、残念ながら対象となるOSは、WINDOWS/NT、2000、XPで、対象となるソフトは、インターネットエクスプローラ、SQLサーバー等です。

  その点検用のプログラムは、次のところから入手できます。
  www.microsoft.com/japan/technet/security/tools/hfnetchk.asp
 ここから「Hfnetchk.exe」という点検用プログラムと「stksecure.xml」というデータファイルをダウンロードします。いずれも別名で自己解凍方式で圧縮されていますので、解凍して、適当なフォルダにコピーします。点検用プログラムは、日本語用のものではありませんが、データファイルは、日本語用のものでなければいけません。
  ここでは、2つとも、C:¥Hfnetchkフォルダにあるものとして説明します。
  まず、管理者権限でログオンしたあとで、WINDOWS2000では、プログラムからアクセサリ→DOSプロンプトとたどって次のコマンドを入力します。
 「cd \Hfnetchk  Hfntchk.exe -v -x stksecure.xml」
 これで、対象となっているマシンの修正プログラムの適用状況が明らかになります。
 結果には、「Note(注意)」、「Warning(警告)」、「Patch Not Found(必須)」の3段階があります。
 Patch Not Foundについては、原則として適用を検討します。
  また、パッチがすべて適用されていると「All necesaary hotfixes have been applied.」と表示されます。 

  なお、不足していると表示される情報の中には、管理番号「MS99-999」と「JP999999」という文書番号が含まれています。前者は、脆弱性等、マイクロソフトが問題を識別する番号です。後者は、サポート技術情報へのアクセス番号です。
  例えば、JP123456であれば、www.microsoft.com/japan/support/kb/articles/JP123/4/56.aspを参照します。
 ここから修正プログラム等に関する情報を入手することができます。

  では、今月は、ここまで。
 皆様、お元気でお過ごし下さい。また、来月、お会いしましょう。

前回のご挨拶に戻る今月のご挨拶に戻る次回のご挨拶に進む