Chocolatey の4つのセキュリティ機能

10月 03, 2019 セキュリティとコンプライアンス, MOVEit

エンタープライズ環境においては特に、IT 担当者は、Windows 環境にソフトウェアを安全にインストールするため、慎重を期す必要があります。

最近、Chocolatey で Windows のパッケージ管理を使用するというアイデアが取り入れられ、セキュリティ機能が向上しました。セキュリティは、Chocolatey for Business 版には特に重要です。サードパーティーのソフトウェアを、Chocolatey を使って Windows にインストールするとき、可能な限り安全な方法で行えるよう、様々な努力がなされました。このブログでは、これらのセキュリティ機能について説明します。

1. コミュニティモデレーション

Chocolatey の最大の特徴の1つは、誰でも利用できる膨大な数のコミュニティソフトウェアパッケージ(5,000以上)です。パッケージのバージョンがコミュニティリポジトリに送信されるたびに厳密なテストと検証が行われますから、安心です。パッケージの維持管理をしている個人的な経験からも、この点は確かです。

「信頼できる」と見なされないパッケージがあれば、誰か人間がパッケージを検査して、Chocolateyの標準に準拠しているかどうか確認します。モデレーション中には、可能な場合は HTTPS が使用されることを確認するために、インストーラもテストされます。Chocolatey は、企業の場合、パッケージを内部リポジトリに内部化することを推奨しています。パッケージをインストール中にインターネットに接続する必要をなくすためです。

2. Chocolatey エージェント

Chocolatey エージェントは、Windows で実行中の、Chocolatey を実行できるサービスを許可する別のライセンス機能です。デフォルトでは、エージェントのインストール時に、ランダムパスワードとともにローカルユーザーアカウントが作成されます。このアカウントは実際にサービスを実行します。

さらに、エージェントは、非管理者ユーザーが CLI または Chocolatey GUI の両方からセルフサービスでソフトウェアをインストールできるようにします。ライセンスされたユーザーは、エージェントと共に、インターネットの URL が404エラーでアクセスできない場合に CDN を利用することもできます。

3. ソフトウェア監査

Chocolatey のライセンスバージョンの新しい機能の1つは、各パッケージについて、インストールが行われた時間とソフトウェアをインストールしたユーザーを表示できる監査機能です。これは、choco list -lo --audit コマンドで実現できます。PowerShell を使用すると、一度に多くのマシンでリモートコマンドを簡単に実行でき、特定のソフトウェアがいつインストールされたかを確認できます。

4. アンチウイルス統合

パッケージのモデレーション中にコミュニティパッケージにウイルス対策スキャンを実行するとともに、ライセンスされたユーザーのクライアント側でのインストール時にウイルス対策スキャンを実行します。ユーザーは、ローカルマシンにインストールされているウイルス対策ソフトウェアと統合するか、VirusTotal を使用してデータベースと比較するかを選択できます。特定のインストーラに対して VirusTotal が検出する「良くない」ウイルス対策サイトの数を設定することもできます。実行時にパッケージのしきい値が超えた場合、インストールは停止します。

まとめ

Chocolatey は、デファクトの Windows パッケージマネージャです。Puppet や Chef などの設定管理ツールと統合することで非常に優れた DevOps ツールになりますが、単独でも一般に優れたツールとして機能します。セキュリティは Chocolatey に組み込まれており、安心してサーバーとエンドユーザーの両方にソフトウェアをインストールすることができます。

Dan Franciscus

Dan Franciscus is a systems engineer and VMware Certified Professional (VCP) specializing in VMware, PowerShell, and other Microsoft-based technologies. You can reach Dan at his blog (http://www.winsysblog.com/) or Twitter at @dan_franciscus.