クラウドでのセキュリティパッチの管理はどうする？（2）

前回、クラウド事業者と利用者の情報セキュリティの責任分担の概要について説明しました。今回は、マイクロソフトのOfficeオンラインサービスである「Microsoft Office 365」でのセキュリティアップデートの管理を取り上げます。

Office 365サービスのアップデート

Office 365は、Microsoft Word、Excel、PowerPoint、OutlookなどといったOfficeアプリケーションや、OneDrive、Exchange、SharePoint、Teamsといったサービスを利用することができるSaaS型のクラウドサービスです。サービスおよびホスト環境、物理ネットワーク／データセンター環境におけるセキュリティパッチと脆弱性について責任を担うのは、クラウド事業者であるマイクロソフトです。これらは、ユーザーを保護するために常に最新バージョンで利用可能な状態を保つように運用されています。

なお、エンドポイントとなるクライアント端末は利用者側で管理を行う必要があります。つまり、クライアント端末のOSやインストールしたアプリケーションのアップデートを行うのは、クラウド利用者側です。

サービスのアップデートの通知

Office 365サービスで行われるアップデートには、バグの修正、パフォーマンスの向上、およびセキュリティの更新などが含まれています。アップデートに伴い、クラウド利用者(テナントの管理者)のアクションが必要となる場合は、Office 365の管理ポータルにあるメッセージセンターに30日前までに通知が送られます。長期的な管理計画を行う場合は、予定されている新機能のリリースやロードマップは、「Microsoft 365ロードマップ」で確認することができます。

Office 365 - クライアントアプリケーションの更新

Office 365の特定のサブスクリプションでは、Microsoft Word、Excel、PowerPoint、OutlookなどといったOfficeアプリケーションが含まれており、オンライン上で利用するほかに、クライアント端末に最新のOfficeアプリケーションをインストールして利用することができます。

これらのアプリケーションは、一定の間隔で最新の機能やセキュリティ更新プログラムが反映された新しいバージョンへと更新されていきます。更新する間隔は、「更新プログラムチャネル」と呼ばれる次の3つの周期タイプのいずれかに設定されます。

1. Monthly Channel／月次チャネル：Officeの最新機能をいち早く展開するチャネルです。最新の機能更新プログラム、セキュリティ更新プログラム、非セキュリティ更新プログラムが含まれたバージョンが毎月リリースされます。Office 365 Business ユーザーの既定の設定です。

2. Semi-annual Channel(Targeted)／半期チャネル(対象指定)：Semi-annual Channelのパイロット展開／事前検証用のチャネルです。機能更新プログラムを年2回リリース(3月／9月）し、その後5カ月間最新のセキュリティ更新プログラム、非セキュリティ更新プログラムが含まれたバージョンが毎月リリースします。

3. Semi-annual Channel／半期チャネル：エンタープライズ規模の組織全体へ展開するチャネルです。直前のSemi-annual Channel(Targeted)向けにリリースされた機能更新プログラム、最新のセキュリティ更新プログラム、非セキュリティ更新プログラムが含まれたビルドを年2回リリース(1月／7月）します。リリース後、最新のセキュリティ更新プログラムが含まれたビルドを13カ月間提供します。Office 365 ProPlusユーザーの既定の設定です。

常に最新機能を利用したいユーザーは月次チャネルを利用、最新機能を事前に検証してから展開したいユーザーは半期チャネルを利用といったように、選択する更新プログラムチャネルを制御することにより、機能更新プログラムを受け取る頻度を制御することができます。

更新の情報

従来のオンプレミスで利用していたOfficeアプリケーションとは異なり、Office 365サブスクリプションで展開されているOfficeアプリケーションでは、セキュリティ更新プログラムとその他の更新プログラムはMicrosoft Updateで入手することができません。

代わりに、更新プログラムがリリースされるたびに(通常は毎月第2水曜日)、MicrosoftがOffice 365用の更新バージョンを作成して公開します。Office 365 ProPlusの更新プログラムリリース情報では、各更新プログラムチャネルごとにサポートしているバージョンや公開日、バージョン番号(ビルド番号)、およびそのバージョンでの修正内容が公開されています。

セキュリティの修正では、脆弱性のCVE番号やマイクロソフト セキュリティ アドバイザリの文書番号を確認することができます。例えば、緊急度が高く早急に対処が必要な脆弱性は、どのバージョンで対応しているかを確認し、組織内に展開されているバージョンの対応有無を確認する、といった管理が可能です。

更新プログラムの展開

前述の項目でも触れましたが、Office 365サブスクリプションで展開されているOffice アプリケーションでは、個別の更新プログラムを提供してアップデートする方式ではなく、新しいバージョンへのアップデートというかたちになります。

そのため、各更新プログラムを個別に入手することができません。また、更新されたバージョンは、Microsoft Update/Windows Updateではなく、Microsoftクイック実行ソース(CDN：コンテンツ配信ネットワーク)から配信されます。そのため、Microsoft Updateを通じた更新や、Windows Server Update Services(WSUS)のようにMicrosoft Updateの配信の仕組みを利用する配信ツールでの展開、Microsoft Download Centerから個別にプログラムをダウンロードして展開する、といった従来のオンプレミスでの更新管理の手法をそのまま利用することはできないため、注意が必要です。組織内で展開するには、必要に応じて、グループポリシーやOffice展開ツールを使用する必要があります。

インターネットから自動的に展開する場合

既定の設定では、Office 365サブスクリプションで展開されているOfficeアプリケーションでは、Microsoftクイック実行ソースから自動的に更新プログラムをダウンロードしてインストールします。既定の設定を利用する場合は、利用しているユーザー、および組織の管理者側での追加の構成や作業は必要ありません。

もし最新のバージョンが利用可能であるかを確認したい場合は、Officeアプリケーションのアカウントメニューの「更新オプション」にて確認することができます。

組織の管理下で展開を制御する

組織で更新管理を行いたい場合は、グループポリシーやOffice展開ツールを利用することで、更新プログラムを自社ネットワーク内から配布したり、自動更新を無効化して独自のタイミングでの手動更新に変更したりと、組織のニーズに応じた管理方法へ変更することが可能です。

また、Microsoft System Center Configuration Manager (SCCM) (1602 以降)やMicrosoft Intuneなどのソフトウェア配布ツールを使用することで、より細かい更新プログラムの配布／管理ができるようになります。こうした制御により、社内で利用しているアプリケーションの互換性の検証が完了した更新バージョンを組織内のクライアントに適用させることが可能です。

*　*　*

今回は、マイクロソフトのOfficeオンライン サービスであるOffice 365でのセキュリティアップデートの管理を取り上げました。次回は、Azureでのセキュリティアップデート管理を取り上げる予定です。