| エンタープライズ:ニュース | 2003/10/23 08:17:00 更新 |
ポストMSBlast時代の新セキュリティ戦略を披露したマイクロソフト
マイクロソフトの高沢冬樹氏が「セキュリティ・ソリューション フォーラム in Security Solution 2003」に登場。パッチ公開スケジュールの変更をはじめとする新セキュリティ戦略を説明した。
「マイクロソフトではこれまで、パッチを即座に提供するという戦略に立ち、日米でほぼ(パッチリリースに)時差がないところまで体制を作りこんできた。しかし、積極的に脆弱性が発見されるようになり、パッチ発行数が激増している今、この仕組みを有効に実行していくには現実的な壁が生じている」――マイクロソフトのWindows Server製品部部長、高沢冬樹氏は、10月22日に「セキュリティ・ソリューション フォーラム in Security Solution 2003」の中で行った講演の中でこのように述べ、これまでのセキュリティ対策には限界があるとの見方を示した。
マイクロソフトはこれまで、かつてのCode RedやNimdaの経験を元に「信頼できるコンピューティング(Trustworthy Computing)」構想を打ち出し、同社製品のセキュリティの強化に努めてきた。コードの見直しや一部製品におけるデフォルト設定の変更、パッチ提供プロセスの改善といった取り組みは、一定の成果は挙げたといっていいだろう。
しかし今年8月に大規模な感染を見せたMSBlastによって、同社は再度、戦略の変更を迫られている。米Microsoftは10月9日、パッチそのものと配布体制の改善を柱に、各種ガイダンスの提供とクライアント/サーバ保護技術の強化からなる新たなセキュリティ戦略を打ち出した(10月10日の記事参照)。高沢氏のプレゼンテーションは、この新しい戦略について説明するものとなった。
パッチにさらなる改善を
高沢氏も指摘するとおり、脆弱性が発見されてからそれを悪用するコードが公にされるまでの期間は短くなる一方だ。しかもそれをベースとしたワームの性質も高度化しており、ユーザーのアクションを必要とせず、ただインターネットに接続しているだけでセキュリティホールを突かれ、感染するものが登場している。この状況を踏まえてマイクロソフトでは、主に4つの項目からなる取り組みを進めていくという。
1つめは、パッチ本体、およびパッチ適用プロセスの改善だ。ことパッチに関しては「これまでも改善に取り組んできたが、いろいろとユーザーから声をいただいている」(高沢氏)。中でも多いのが、「パッチの品質が低い」「適用作業が煩雑」「頻繁に公開されるため、適用作業が追いつかない」といった反応だ。事実、8月以降、マイクロソフト関係者が出席して行われたセミナーやパネルディスカッションでは、会場からこうした意見や質問が出されることが多かった。
これを踏まえてマイクロソフトでは、これまで週刊ペースで公開してきたパッチの提供サイクルを変更し、通常のパッチは月に1度(毎月第二水曜日)まとめて公開し、それ以外に緊急の対処が求められるものは随時、独立してリリースする仕組みとする。「パッチ適用のためのテスト計画と導入スケジュールを立てやすくするもの」と高沢氏は述べている。
さらに、2004年5月をめどに、Windows Updateで適用できるものもあれば手動でダウンロードする必要もあるといった具合に、これまで製品やパッチごとにばらばらだったパッチメカニズムを2系統に統合。合わせて、Windowsをはじめ各種パッチを適用した後、元の状態に戻せるようにするロールバック機構を実装させる。並行してパッチ本体の容量削減と適用作業の際に強いられるリブート回数の削減にも取り組む。もう1つはパッチ適用作業の自動化だ。日本でも近々リリースが予定されている「Systems Management Server(SMS)2003」によってこれが前進するという。
次のService Packで「シールド技術」を実装
同社2つめの取り組みは、高いセキュリティを備えた環境を作り上げるための情報とトレーニングを提供することだ。この取り組みは現時点でも始まっており、マイクロソフトのWebサイトには、「脅威とその対策 : Windows Server 2003 と Windows XP のセキュリティ設定」や「Microsoft セキュリティ修正プログラム管理ガイド」といった文書が公開されている。米国サイトではセキュリティ対策のためのツールも続々とリリースされており、これが順次日本語サイトでも公開されることを期待したい。
高沢氏が挙げた3つめの取り組みが、クライアント/サーバを守るシールド技術の強化である。パッチ提供サイクルとも関連してくることだが、毎週のようにパッチがリリースされる現状では、適用作業が追いつかない。また環境によっては、既存のアプリケーションとの兼ね合い上、どうしてもパッチを適用できないこともある。同社が今後展開するというシールド技術は、仮にパッチが適用されていなくてもシステムが深刻な影響を受けないよう、「ワームやその他の不正アクセス、攻撃に対する耐性を高める」(高沢氏)ものという。
これはクライアント向けにはWindows XP Service Pack 2で実装され、以前より要望の高かったファイアウォール機能のデフォルト有効化が実現されるほか、メール・Webブラウザ機能の改善、バッファオーバーフロー防止を狙ったメモリ保護機能が実現される。一方サーバ用はWindows Server 2003 Service Pack 1がそれに当たり、リモートアクセス受付時にクライアントのセキュリティ環境を検証し、ポリシーにそぐわない場合はアクセスを拒否する仕組みが実装される計画だ。
そして最後の項目が、継続的な製品品質の向上となる。Windows 2000 Serverに比べてWindows Server 2003の脆弱性が減少したように、「潜在的な脆弱性を確実に減らしていくための取り組みを進めていく」と高沢氏は言う。ちなみに、Longhornとして知られる次世代Windowsには、「Next-Generation Secure Computing Base(NGSCB、コードネームはPalladium)」というセキュリティ技術が組み込まれ、より堅牢なものになる見込みだ。
高沢氏は最後に、顧客に対し幾つかのセキュリティ対策を行ってほしいと述べた。中でも「ぜひ組み込んでほしいのが、パッチマネジメントの仕組み。パッチ適用が負担になってしまうのは本来望ましくないこと。ぜひ自動化ソリューションの導入を」と言う。
関連記事
Microsoft、“ウィークリーパッチ”をやめて毎月のアップデートへ「パッチの限界」を越えるか、MSがセキュリティ新戦略Windowsワーム感染拡大が物語る「パッチの限界」関連リンク
Security Solution 2003マイクロソフト[高橋睦美,ITmedia]
