移動先でのアップデートの仕組み

移動先でのアップデート機能は、モバイル PC 用の高度なアップデート手法で、モバイル PC のアップデートポリシーに指定されているプライマリ/セカンダリアップデート元だけでなく、「最適な」アップデート元からアップデートを行います。

移動先でのアップデートが有効になっている場合、次のように動作します。

1. モバイル PC を別のロケーションで使用すると、インストールされている Endpoint Security and Control のコンポーネント、Sophos AutoUpdate は、接続先ネットワークのデフォルトのゲートウェイの MAC アドレスが、前回アップデートのときと異なると判定します。その後、近接の AutoUpdate 複数にローカル サブネット経由で ICMP ブロードキャストを行います。デフォルトで UDP ポート 51235 が使用されます。
2. 近接の各 AutoUpdate は、同じポート番号を使用して、自身のアップデートポリシーに基づいて返信します。返信内容には、プライマリのアップデート元のみが含まれます。

   Endpoint Security and Control のインストールは、移動先のアップデートが有効になっているかどうかに関わらず、すべてブロードキャストを待機します。

   返信に含まれる機密情報は難読化され、各フィールドは整合性を保つためにハッシュ化されます。

   返信メッセージの返信時刻は、メッセージストームを避けるためランダム化されます。また、返信メッセージは ICMP ブロードキャストされるので、同じ内容を返信する予定だった他のマシンは、受信したブロードキャストの内容を見て返信しないことを判断できます。

3. AutoUpdate は、受信した複数のアップデート元から「最適な」ロケーションを選び、送信マシンが同じ Enterprise Console で管理されており、サブスクリプション ID がモバイル PC 上の AutoUpdate で使用されているものと一致するかを確認します。

   「最適な」アップデート元は、そこへのアクセスに必要なホップ数に基づいて判断されます。

4. その後、アップデートが実行され、成功した場合、そのアップデート元はキャッシュされます。

   モバイル PC には、サブスクリプション ID が同じで、ホップ数が最小のアクセス可能なアップデート元が、最大 4箇所まで保管されます (保存先ファイル: C:\Program Files\Sophos\AutoUpdate\data\status\iustatus.xml)。

   これらのアップデート元は、AutoUpdate がアップデートを実行するたびにチェックされます。

   注: アップデートポリシーで指定されるプライマリ/セカンダリアップデート元を再び使用する必要がある場合は (ポリシーで指定されているアップデート元からカスタム設定をロールアウトする場合など)、移動先でのアップデート機能を無効にしてください。