移動先でのアップデートの仕組み
移動先でのアップデート機能は、モバイル PC 用の高度なアップデート手法で、モバイル PC のアップデートポリシーに指定されているプライマリ/セカンダリアップデート元だけでなく、「最適な」アップデート元からアップデートを行います。
移動先でのアップデートが有効になっている場合、次のように動作します。
- モバイル PC を別のロケーションで使用すると、インストールされている Endpoint Security and Control のコンポーネント、Sophos AutoUpdate は、接続先ネットワークのデフォルトのゲートウェイの MAC アドレスが、前回アップデートのときと異なると判定します。その後、近接の AutoUpdate 複数にローカル サブネット経由で ICMP ブロードキャストを行います。デフォルトで UDP ポート 51235 が使用されます。
- 近接の各 AutoUpdate は、同じポート番号を使用して、自身のアップデートポリシーに基づいて返信します。返信内容には、プライマリのアップデート元のみが含まれます。
Endpoint Security and Control のインストールは、移動先のアップデートが有効になっているかどうかに関わらず、すべてブロードキャストを待機します。
返信に含まれる機密情報は難読化され、各フィールドは整合性を保つためにハッシュ化されます。
返信メッセージの返信時刻は、メッセージストームを避けるためランダム化されます。また、返信メッセージは ICMP ブロードキャストされるので、同じ内容を返信する予定だった他のマシンは、受信したブロードキャストの内容を見て返信しないことを判断できます。
- AutoUpdate は、受信した複数のアップデート元から「最適な」ロケーションを選び、送信マシンが同じ Enterprise Console で管理されており、サブスクリプション ID がモバイル PC 上の AutoUpdate で使用されているものと一致するかを確認します。
「最適な」アップデート元は、そこへのアクセスに必要なホップ数に基づいて判断されます。
- その後、アップデートが実行され、成功した場合、そのアップデート元はキャッシュされます。
モバイル PC には、サブスクリプション ID が同じで、ホップ数が最小のアクセス可能なアップデート元が、最大 4箇所まで保管されます (保存先ファイル: C:\Program Files\Sophos\AutoUpdate\data\status\iustatus.xml)。
これらのアップデート元は、AutoUpdate がアップデートを実行するたびにチェックされます。
注: アップデートポリシーで指定されるプライマリ/セカンダリアップデート元を再び使用する必要がある場合は (ポリシーで指定されているアップデート元からカスタム設定をロールアウトする場合など)、移動先でのアップデート機能を無効にしてください。