エンタープライズ:ニュース 2003/09/04 06:54:00 更新


あのCM、もう見ましたか?:セキュリティアラート、今週のアクセストップ10(8月24日〜8月30日)

Windows Updateについて触れたコマーシャルが、先週末からようやく流れ始めた。おりしもWindows Updateのあり方、そしてソフトウェア脆弱性の責任の所在を問う記事が注目を集めた。

セキュリティ今週のアクセストップ10

2003年8月24日〜8月30日
1位

Opinion:Windows UpdateがUpdateの必要に迫られている理由
2位

相次ぐソフト脆弱性で浮上するメーカーの責任問題
3位

IEとWindowsにまたも深刻なセキュリティホール
4位

二つのワームの猛攻でネットワーク大混乱
5位

Sobigは「F」で終わらない?
6位

MSBlast、Nachiに続く第3のワームが登場
7位

Sobig.Fウイルス、攻撃の第2波は回避
8位

金銭的な見返りからSobigは「Fで終わらない」
9位

メールはSobig.Fだらけ――前代未聞の感染規模
10位

スパム発射台としてのSobig.F、攻撃の第2波は回避

 実は筆者、ちょっとうれしい。というのも、先週の「セキュリティアラート今週のトップ10」で触れた、井戸端会議で出たアイデアの一部が現実のものになっていたからだ(という表現は言いすぎだが)。

 既にお気づきの方もいるかもしれないが、マイクロソフトがテレビで流しているWindows Server 2003のコマーシャルに、先週末あたりから変化が現れている。コマーシャルの最後のほんの数秒だが、「あなたのPCを守るために、Windows Updateを利用してください」という呼びかけが加えられているのだ。

 マイクロソフトでは、2001年に登場したCode RedやNimdaが与えた影響の大きさを踏まえ、セキュリティに対する取り組みを強化してきた。絶対的な評価から言って十分かどうかはさておき、例えば3年前との相対評価で言えば、セキュリティホールやパッチに関する情報提供はずいぶん進歩したと思う。マイクロソフト自身、MS03-026の脆弱性に関しては、セキュリティ情報へのアクセス数やパッチのダウンロード数が、従来とは桁違いに多かったことから、告知はむしろ進んでいるという認識を持っていた。

 しかしMSBlastやNachiはまん延し、多くのユーザーを混乱に陥れた。情報提供の取り組みは前進はしたものの、それでも「どんな問題があり、それを解決するために最低限どういった作業が必要か」という基本的な情報すら、コンシューマーユーザーを含めた幅広い層に行き渡っていなかったことが明らかになったわけだ。

 こうした事実を反省してか、先日行われたプレス向け説明会の中でマイクロソフトは、「告知をインターネットに頼りすぎていた」とし、各種メディアを通じてWindows Update――将来的には「Microsoft Update」――について啓蒙していく方針を示している。今回のコマーシャルでのメッセージも、その一環といえるだろう。

 ……などと考えながら、「まずは一歩前進、よしよし」とテレビを見ていたのだが、その直後に落ち込むことになった。一緒に同じコマーシャルを見ていたはずの家族が、まったくそのメッセージを認識していなかったのだ。「おー、やってる、やってる」と一人はしゃぐ筆者を横目に、「え? そんなこと出てたっけ? 気付かなかった」などとのたまう。

 それもそうかもしれない。記憶に頼ってのことになるが、Windows Updateを利用してね、と呼びかける文字自体はかなり小さかったし、表示もほんの数秒。タバコのコマーシャルにおける「あなたの健康のため、吸いすぎに注意しましょう」という表示にそっくりだ。意地悪な見方をすれば、免罪符程度にとりあえず表示だけはしている、というように受け取られても仕方ないとも言える。だがマイクロソフトには意地でも、コマーシャル(およびその他の告知)の内容強化に努めてほしいと思う今日この頃である。

 無論、情報告知だけを強化しても意味がない。それ以外の事柄も含めた総合的な取り組みが強く求められていることは、先週1週間のアクセスランキングからも明らかだ。中でも多くのアクセスを集めたのは、「Opinion:Windows UpdateがUpdateの必要に迫られている理由」「相次ぐソフト脆弱性で浮上するメーカーの責任問題」といった記事である。

 まずは、上記の記事でも指摘されているように、Windows Updateそのもののインタフェース、脆弱性に関する説明の仕方や内容には、さらなる改善が求められるだろう。例えば最近の例で言うと、MS03-033でセキュリティホールが指摘されたMicrosoft Data Access Components(MDAC)などもそうだが、どのバージョンに問題があり、どのパッチを適用すればいいのか、といったあたりまではまだ理解できるとしても、他のパッチとの間に依存/重複関係があったり、あるパッチを適用した後でまた別のパッチを適用しないと脆弱性が残るままになっていたり、それでいながら、いったん適用したパッチの削除が難しかったり、といったケースが時折見受けられる。これでは、せっかくユーザーがパッチを適用しようと思っても、さらなる混乱を招くだけだ。

 ユーザーの多さと幅広さ、環境の多様さを考えれば、現状のように文字だけでセキュリティ情報を説明するには限界がある。環境に依存するかもしれないが、例えば、Flashによるコンテンツを組み合わせ、ユーザーが質問に答えていくと必要なパッチとその適用方法がイラストで示される、などという仕組みがあってもいいかもしれない。

 もう1つのメーカーの責任問題についても、ITが及ぼす影響の大きさを考えれば、議論は避けられないところだ。この点については追って、国内での動向や法解釈を踏まえた形で報告していきたいと思っている。

[高橋睦美,ITmedia]