マイクロソフトのセキュリティ戦略が進展
4段階の修正プログラムを提供、企業向けウィンドウズアップデートサービスも開始
2002.08.10−信頼のおけるコンピューティング(Trustworthy Computing)を推進しているマイクロソフトは、セキュリティ問題に対処するための社内体制とその取り組みを明らかにした。米国本社に「マイクロソフトセキュリティレスポンスセンター」を設置し、マイクロソフト製品のセキュリティ問題を調査・修正し、4段階の修正プログラムとして提供。今年に入って60種類のぜい弱性を修正するための39本のプログラムが公開されたという。しかしながら、同社ではユーザーサイドにおける修正の適用が遅れていると判断しており、企業ユーザー向けに自動アップデートシステムの無償提供を開始している。
セキュリティレスポンスセンターは、インターネットの重要なセキュリティサイトやメーリングリストを監視するとともに、ユーザーやパートナーからの報告も集約して、該当する製品の開発部門に対し調査開始の指示を発する。開発部門は指摘されたぜい弱性を判定し、その修正とテスト作業に入る。それが完了した時点で、セキュリティレスポンスセンターは各国の主要拠点などに設置されているPSSセキュリティレスポンスチームにセキュリティ速報(Security Bulletin)を提出。各チームによるレビューとテスト結果がセンターにフィードバックされたのち、最終的な最終的なセキュリティ速報が発布されることになる。
セキュリティ修正が遅れる場合は、開発部門における修正とテストに時間がかかっていたり、各国からのレビューやテスト結果を集約するのに時間がかかっていたりすることがほとんどだという。放ったらかしになって遅れることはないということだ。
さて、実際にユーザーに提供されるセキュリティ修正は、「セキュリティ修正プログラム」、「累積的セキュリティ修正プログラム」、「セキュリティロールアップパッケージ」、「サービスパック」−の4段階に分かれている。
セキュリティ修正プログラムは、緊急かつ重要なセキュリティ問題に関して個別に適用されるもので、最も公開頻度が高い。次いで、ある程度修正プログラムが累積した時点で、深刻度が中程度の問題を含めてまとまった修正としてリリースするのが累積的セキュリティ修正プログラム。さらに、深刻度・危険度が低い問題も含めて対策を行うのがセキュリティロールアップパッケージ。それに加えて、その他の諸問題にも対応させ総合的で広範囲な修正を施すのがサービスパックという位置づけになる。あとのものになるほど提供頻度は下がるが、その中に含まれる修正箇所は多くなっていくというわけだ。
以上を踏まえ、同社では、マイクロソフト製品に対するセキュリティ対策の推奨手順として、(1)サービスパックとセキュリティロールアップパッケージを適用する(2)ウィンドウズアップデートおよびオフィスアップデートを実施する(3)個別のセキュリティ修正プログラムを適用する(4)OSなどのセキュリティ設定を適切に行う(5)最新版製品にアップグレードする−をあげている。とくに、サービスパックは必ず当ててほしいとしている。ただ、Windows95や98などの古い製品にいくら修正プログラムを当てても、WindowsXPのセキュリティレベルには決して達しないため、最終的には製品をアップグレードしてほしいということだ。
セキュリティレスポンスセンターを中心とした社内的な取り組みが深まるのにともなって、開発部門の意識も変化し、修正点を自ら洗い出してサービスパックのタイミングを待たずに個別のセキュリティ修正プログラムを作成するケースが増えてきた。また、ユーザーのセキュリティ意識が高まってきたため、以前は年間1,000件ほどだったユーザーからの報告が最近では1ヵ月当たり数100件のペースに拡大しているという。
実際、今年になって39本の個別修正プログラムが公開されており、ウィンドウズアップデートに関しても月間3億件のダウンロードが行われている。しかし、同社ではインストールベースからみるとこのダウンロード数は少なく、ウィンドウズアップデート機能が十分に活用されていないと判断。企業ユーザーを対象に、セキュリティ対策で重要なウィンドウズアップデートを浸透させる作戦に出た。
これは、マイクロソフト・ソフトウエアアップデートサービス(MSUS)と呼ばれ、通常はインターネットを介して行うウィンドウズアップデートを、企業内のイントラネット環境で行えるようにしたもの。配布する修正プログラムは管理者が自由に設定でき、セキュリティ修正プログラム群とセキュリティロールアップパッケージを社内のサーバーやクライアントマシンに対して適用させることが可能。また、企業内のパソコンのぜい弱性を発見するツールであるベースラインセキュリティアナライザー(http://www.microsoft.com/japan/support/kb/articles/JP320/4/54.asp)も無償で提供している。
MSUSは、6月からサイト上(http://www.microsoft.com/japan/windows2000/windowsupdate/sus/)で無償配布をはじめたが、最初の2ヵ月あまりで6,000以上のサーバーに導入された。すでに登録されているクライアントは1万台近い。対象はWindows2000とWindowsXPのみだが、同社ではこれが“信頼のおけるコンピューティング”実現への強力な前進材料になると期待している。
なお、同社ではセキュリティ問題専門の問い合わせなどを受け付けるセキュリティ情報センター(電話0120-69-0196)も開設している。