セキュリティ修正プログラムを 効果的に管理するベストプラクティス 山崎雅樹 GTSC Security Response Team Microsoft Asia Limited セキュリティ担当者(管理者)の不満 制限ユーザで利用 している端末への 効果的なパッチ配布 どの修正プログラムが 必要か判断できない セキュリティ情報の 内容が分かりにくい パッチ適用に伴う 運用管理コストの増大 2 © 2003 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 1 Agenda 適用状況の分析 セキュリティ情報の確認 脆弱性の対応計画 修正プログラム配布、状況確認 3 修正プログラム管理プロセス セキュリティ情報の アナウンス 状況の分析 No 適用漏れがあるか Yes 脆弱性の対応計画 パッチの配布 or 回避策の適用 問題あり ロールバックプロセスに 従って処理 問題無し 適用後の状況確認 4 © 2003 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 2 修正プログラムの適用状況を分析 準備事項 環境の把握 OS、サービス、アプリケーション、所有者、etc 資産価値、脅威、脆弱性の把握 修正プログラムの適用状況をチェックするツー ルの利用 HFNetChk Microsoft Baseline Security Analyzer (MBSA) 5 HFNetChk ネットワーク上のコンピュータのセキュリティ 修正プログラムの適用状況を確認 コマンド ライン ツール 開発元の shavlik のサイトでは、最新のバー ジョンが入手可能 ¾ マイクロソフトからの HFNetChk の提供は終了 する予定 z 無償 6 © 2003 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 3 HFNetChk 管理スクリプト セキュリティ運用ガイドに HFNetChk 用の 管理スクリプトが付属 複数のサーバーに対して修正プログラムの 適用漏れがないかどうかをチェックし、 日付ごとのフォルダに保存される 日本語版 XML DB ファイルを利用するため には スクリプトに修正が必要 日本語版 XML DB ファイル http://download.microsoft.com/download/ xml/security/1.0/NT5/JA/mssecure.cab 7 Microsoft Baseline Security Analyzer 1.1 (MBSA) z 様々なセキュリティ項目を確認 ¾ ¾ ¾ パスワードの設定 サービスの起動状況 アプリケーションの設定 z SUS との連携 z HFNetChk の機能を包括 z 無償 8 © 2003 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 4 HFNetChk と MBSA の違い HFNetChk のメリット 日本語版 XML DB ファイルによる正確な状況の 把握 MBSA のメリット 様々なセキュリティ設定の確認 GUI ツール SUS との連携 9 Microsoft Security サイト ① 自動でダウンロード (最新の修正プログラムに関するデータ)) 修正プログラム DB ファイル ② セキュリティ項目チェック SQL ③ 結果出力 Security Report IIS Exchange Windows, IE, Office, Media Player10 © 2003 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 5 SUS オプション利用時の 修正プログラム確認の動作 SUS が配布可能な 修正プログラムのリスト SUS ② 修正プログラムの適用状況の確認 ③ 結果出力 Security IIS Report OS, IE SUS が配布している修正プログラム だけをチェックすることができる 11 HFNetChk and MBSA 12 © 2003 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 6 修正プログラム管理プロセス セキュリティ情報の アナウンス 状況の分析 No 適用漏れがあるか Yes 脆弱性の対応計画 パッチの配布 or 回避策の適用 問題あり ロールバックプロセスに 従って処理 問題無し 適用後の状況確認 13 セキュリティ情報のアナウンス Security Bulletin + FAQ 0 day 2 days 7 days KB 概要 セキュリティ 情報 FAQ KB 概要情報 US 公開後、午前中までに公開 セキュリティ警告サービスセキュリティ警告サービス-日本語版 セキュリティ情報の新着および更新情報を電子メールでお知らせするもの セキュリティ情報 (Security Bulletin) 脆弱性に関する全般的な情報 セキュリティ情報 - よく寄せられる質問 (FAQ) 脆弱性を把握するのに有効 技術情報 (KB) 修正プログラム、製品に関する情報、セキュリティ以外の問題に関する情報 14 © 2003 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 7 セキュリティ情報の確認 - 1 1. 「概要」を確認 該当製品 深刻度 推奨する対応策 2. 「問題を緩和する要素」を確認 回避策で対応できるか、その他に対応方法が ないか確認 3. 「問題」、「よく寄せられる質問」を確認 どのような問題か 脅威の影響 仕様変更の情報 15 セキュリティ情報の確認 - 2 4. 修正プログラムに関する情報 対象プラットフォーム 再起動の必要性 修正プログラムのアンインストール 修正プログラムに含まれる過去の修正 16 © 2003 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 8 セキュリティ情報の確認 - 3 5. サポート技術情報(KB)の確認 修正プログラムに関する情報が記載 修正プログラムを適用することにより 本稼働環境に悪影響を与えないか (仕様の変更点があるか確認) Internet Explorer または Windows のアップデート 適用後の問題 (325192) http://support.microsoft.com/default.aspx ?scid=kb;ja;325192 6. 更新情報の確認 「マイクロソフト セキュリティ情報一覧」の更新日を確認 http://www.microsoft .com/japan japan//technet/security http://www.microsoft.com/ technet/security /current.asp 17 外部セキュリティ情報 海外 Bugtraq CERT/CC 国内 IPA/ISEC JPCERT/CC Virus 対策ベンダー トレンドマイクロ株式会社 株式会社シマンテック 日本ネットワークアソシエイツ 株式会社 セキュリティ関連企業 株式会社 ラック インターネット セキュリティ システムズ株式会社 外部サイトからの情報入手が不可欠 18 © 2003 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 9 修正プログラム管理プロセス セキュリティ情報の アナウンス 状況の分析 No 適用漏れがあるか Yes 脆弱性の対応計画 パッチの配布 or 回避策の適用 問題あり ロールバックプロセスに 従って処理 問題無し 適用後の状況確認 19 脆弱性の対応計画 セキュリティ対策の重要点 脆弱性の対策はコストとリスクのバランスが大切 脆弱性によるリスクは時間とともに増加 対策方法の検討 影響なし 脆弱性に関する 情報のチェック システムへの 影響度を分析 対策不要 対策方法の検討 • 回避策の検討 システムを把握 していることが前提 影響あり • 修正プログラムの適用 •テスト計画 •配布計画 20 © 2003 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 10 回避策による対応 回避策による対応が必要な場合 修正プログラムによる問題 修正プログラムの適用のコストが高い 不必要な機能、サービスが立ち上がっている 「セキュリティ情報」、「よく寄せられる質問」、 「サポート技術情報」を確認し回避方法を検討 ご不明な点は セキュリティ情報センター http://www.microsoft .com/japan japan/security/ /security/sicinfo sicinfo.asp .asp http://www.microsoft.com/ 電話番号 :0120:0120-6969-0196 営業時間 :平日9:30 〜12:00/13:00〜 平日9:30〜 12:00/13:00〜19:00 21 回避策による対応 - 例 MS02MS02-069 Microsoft VM の問題により、システムが侵害される (810030) 対策を行うことにより、 リスクを緩和できる 回避策を対策を行うことにより、 Microsoft VM に関係する問題に 今後対応しなくてもすむ 22 © 2003 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 11 修正プログラム適用時の考慮点 計画の立案 担当オーナーの明確化 暫定的な対策の 必要性を検討 バックアップの検討 適用にかかる コストを検討 テスト項目を 検討 23 テスト実施 修正プログラム管理プロセス セキュリティ情報の アナウンス 状況の分析 No 適用漏れがあるか Yes 脆弱性の対応計画 パッチの配布 or 回避策の適用 問題あり ロールバックプロセスに 従って処理 問題無し 適用後の状況確認 24 © 2003 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 12 修正プログラム配布計画 手動 ログオンスクリプト Windows Update System Management Server (SMS) Microsoft Software Update Services (SUS) 負荷 コスト Win 9x 制限ユーザー × ○ ○ × △ ○ ○ × △ ○ ○ × ○ × ○ ○ ○ ○ × ○ 25 Software Update Services (SUS) Windows Update を企業内に構築 必要な修正プログラムを簡単に適用可能 配布する修正プログラムを管理者が設定可能 セキュリティ修正プログラムを含む 「重要な更新」が配布可能 システム要件 Windows 2000 Server SP2 以上 Internet Explorer 5.5 以上 26 © 2003 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 13 自動更新クライアント SUS を利用するためには自動更新 クライアント (Ver2.2 以上) が必要 Windows 2000 SP3 、Windows XP SP1 に含まれる 制限ユーザーでも修正プログラムの インストールが可能 27 Software Update Services SP1 Server 改良点 Windows 2000 ドメイン コントローラおよび Small Business Server 上でも稼動 IIS Lockdown ツールとの統合性を向上 ソフトウェア更新パッケージの [詳細] リンク Client 改良点 次回の予定インストール実行時間を指定する 機能を提供 ユーザーのログオン中の自動リブートの可否 28 © 2003 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 14 FIX Windows Update FIX Internet Intranet 自動更新クライアント 管理者 FIX FIX SUS 29 Windows Update Internet Intranet B 部署 FIX A 部署 FIX FIX SUS FIX SUS 30 © 2003 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 15 Security Update Service 31 対策後の監視、確認 修正プログラムの適用漏れがないか確認 対策実施後、一定期間の監視が必要 各種ログファイル パフォーマンスモニタ ユーザーからのフィードバック 問題が確認された場合 セキュリティ情報の再確認 修正プログラムのアンインストール、および 回避策による脆弱性の対策 32 © 2003 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 16 まとめ 修正プログラムの管理はセキュリティ リスク を抑える有効な手段です セキュリティ ホールの対策は、セキュリティ の被害で発生するコストに比べ大幅に軽減 されます セキュリティ対策は継続が重要です 33 34 © 2003 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 17 Appendix Microsoft Security http://www.microsoft .com/japan japan/security/ /security/ http://www.microsoft.com/ TechNet Security http://www.microsoft .com/japan japan//technet/security/ http://www.microsoft.com/ technet/security/ Windows 2000 Server セキュリティ運用ガイド http://www.microsoft .com/japan japan//technet/security/ prodtech/win /win http://www.microsoft.com/ technet/security/prodtech dows/windows2000/staysecure /default.asp dows/windows2000/staysecure/default.asp Best Practices for Applying Service Packs, Hotfixes and Security Patches (英語情報) http://www.microsoft .com/technet technet/security/ /security/bestprac bestprac//bpsp.asp http://www.microsoft.com/ bpsp.asp Windows 2000 Server ベースライン セキュリティ チェックリスト http://www.microsoft .com/japan japan//technet/security/tools/ chklist// http://www.microsoft.com/ technet/security/tools/chklist w2ksvrcl.asp 概要 : Windows 2000 の Common Criteria (共通基準 (共通基準)) 認定 http://www.microsoft .com/japan japan//technet/security/issues/w2kcc http://www.microsoft.com/ technet/security/issues/w2kcc wp.asp Windows 2000 評価された構成 管理者ガイド http://www.microsoft .com/japan japan//technet/security/issues/w2kcc http://www.microsoft.com/ technet/security/issues/w2kcc adm/default.asp マイクロソフト セキュリティ情報一覧 (スライド 17) 17) http://www.microsoft .com/japan japan//technet/security/current.asp http://www.microsoft.com/ technet/security/current.asp 35 Appendix Internet Explorer または Windows のアップデート適用後の問題 (325192) (スライド 17) 17) http://support.microsoft .com/default.aspx aspx? ?scid=kb;JA;325192 http://support.microsoft.com/default. scid=kb;JA;325192 Microsoft Baseline Security Analyzer 1.1 (MBSA) MBSA) (スライド 8) http://www.microsoft .com/japan japan//technet/security/tools/tools/ m http://www.microsoft.com/ technet/security/tools/tools/m bsahome.asp bsahome.asp HfNetChk (スライド 6) http://www.microsoft .com/japan japan//technet/security/tools/tools/ hf http://www.microsoft.com/ technet/security/tools/tools/hf netchk.asp netchk.asp Software Update Services (SUS) SUS) (スライド 27) 27) http://www.microsoft .com/japan japan/windows2000/ /windows2000/windowsupdate windowsupdate// http://www.microsoft.com/ sus/ sus/ セキュリティ 警告サービス 日本語版 (スライド 14) 14) http://www.microsoft .com/japan japan//technet/security/bulletin/notify http://www.microsoft.com/ technet/security/bulletin/notify .asp HFNetChk 管理スクリプト (スライド7 スライド7、36) http://www.microsoft .com/downloads/details.aspx aspx? ?displaylang http://www.microsoft.com/downloads/details. =en&FamilyID =9989D151--5C55=en&FamilyID=9989D151 5C55-4BD34BD3-A9D2A9D2-B95A15C73E92 36 © 2003 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 18 セキュリティ運用ガイド TechNet サイトに公開 ¾ Windows 2000 Server ¾ Exchange 2000 Server z CD に含まれるファイルは 適宜更新 37 © 2003 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 19
© Copyright 2026 Paperzz
