連載コラム

佐野央の
プチ管理者は本日も大忙し

2006年10月24日　　文●佐野央

プチアド：WSUSの次は、MBSA2.0ですか？

アドバイザー佐野：Microsoft Baseline Security Analyzer 2.0、通称MBSA 2.0。これは、セキュリティ更新プログラムをはじめとした各コンピュータのさまざまなセキュリティの設定状態をスキャンするツールで、ローカルでもリモートでも実行が可能なのですよ。

豆アド：佐野さん、あ、あのう、MBSAはもちろん……無償のツール、ですよね？

アドバイザー佐野：ええ（笑）。以下のダウンロードサイトから入手が可能です。

豆アド：ええと、先ほどの話では、チェックできるのはセキュリティ更新プログラムの適用状態だけではないとのことですが。

アドバイザー佐野：はい。MBSA2.0は、たとえばWindowsファイアウォールの設定や、Internet Explorerのゾーン設定、SQLやIISの脆弱性など、いろいろなセキュリティ設定をスキャンすることが可能です（画面3）。


画面3●MBSA 2.0 では、IISやSQL Serverの脆弱性などもスキャンが可能。（画面クリックで拡大）

豆アド：へえー、なんだか便利そうですね。

プチアド：うーん、IISやSQL Serverの脆弱性など、確かに今後はちゃんとレポートする必要があるとは思うのですが、とりあえず、今僕らが必要なのは、セキュリティ更新プログラムの適用状況だけなのですよね。

アドバイザー佐野：もちろん「セキュリティ更新プログラムのスキャンだけ」を実行することも可能です。MBSA2.0は、コマンドラインから実行できるので、バッチファイルで必要なデータだけをテキストファイルに出力し、あとからそれを加工することもできますよ。

プチアド：おおっ、バッチファイル、豆アド君の大好きな「自動化」ですか！

豆アド：自動化かぁ、いい響きだ（うっとり）。

アドバイザー佐野：ただし、“Baseline Security Analyzer”というだけあって、スキャン可能な更新プログラムは、サービスパック、セキュリティ更新プログラム、セキュリティロールアップパッケージ（SRP）です。いわゆる「バグの修正プログラム」はスキャン対象にはなりません。

プチアド：ふぅむ、とりあえず、ウチ（RD社）の要望はセキュリティ更新プログラムのレポート作成だから、当面の管理はMBSA 2.0でしのげそうだな。ところで、MBSA 2.0を利用するにあたって、必要な要件は？

表1●MBSA のインストール要件

OS
	Windows XP
	Windows 2003
	Windows 2000 Server Service Pack 4 以降
その他コンポーネントなど
	Internet Exproler 5.01 以降（最新バージョンを推奨）
	XML パーサー（Internet Exproler 5.01 以降は XML パーサーが付属。ただし、最新バージョンのMSXML を推奨）
	IIS Common Files（Internet Information Services の管理上の脆弱性チェックをリモートから実施する場合）
	Microsoft ネットワーク用クライアント
	ポート 80、TCP 135、 139、および 445
	Workstation サービス

表2●MBSA による更新プログラムスキャン対象コンピュータの要件

スキャン対象OS
	Windows XP
	Windows 2003
	Windows 2000 Service Pack 4 以降
スキャン対象コンポーネント、サービス、アプリケーション
	Windows の全コンポーネント（IIS、 Internet Explorer、 MSXML、 MDAC、 Microsoft Virtual Machine…など）
	Microsoft SQL Server 2000 SP4以降、SQL Server 2005
	Internet Exproler 5.01以降
	Office 2000、XP、2003
スキャンに必要なコンポーネントなど
	Windows Update Agent 2.0(自動更新）※
	ファイル共有サービス
	RPC サービス
	Internet Exproler 5.01以降（最新バージョンを推奨）
	Microsoft ネットワーク用クライアント
	Workstation サービス※、Server サービス
	ファイルとプリンタの共有サービス
	リモートレジストリサービス
リモートスキャンに必要なポート
	ポート80 (HTTP)、TCP 135、139および445の受信