現場の声はMSに届いたか？ セキュリティパネルディスカッション：the Microsoft Conference + expo 2004

マイクロソフトユーザーが参加し、同社のセキュリティの取り組みについて語るパネルディスカッションが、MSCE 2004で開かれた。ユーザー企業がいかにパッチの適用作業に悩みを抱えているか、現状が浮かび上がった。

[堀 哲也，ITmedia]

　マイクロソフトユーザーが参加し、同社のセキュリティの取り組みについて語るパネルディスカッションが6月2日、「the Microsoft Conference + expo 2004」で開かれた。会場も交えて行われた議論のほとんどが、同社のセキュリティパッチについて費やされる形となった。ユーザー企業がいかにパッチの適用作業に悩みを抱えているか、その現状が浮かび上がった。

　ディスカッションの司会は、日経コンピュータ編集委員の河井保博氏。パネリストとしては、横河電機の椎野彰朗氏（経営管理本部 品質保証センター 業務システム部 係長）、KDDIの上谷真史氏（情報システム本部コーポレートシステム部OA・ネットワークグループ 課長補佐）、アクセンチュアの武田圭史氏（先端技術グループ セキュリティ担当マネジャー）、マイクロソフト アジアリミテッドの岩崎光洋氏（Microsoft IT リージョナルサイトマネジャー）、そしてマイクロソフトの東 貴彦氏（チーフセキュリティアドバイザー・最高セキュリティ責任者）の5名が参加した。

セキュリティパッチ適用が悩み

　「できることならやりたくないのは、パッチを当てることだ」。横河電機の椎野氏が口火を切って話した。「パッチリリースが月ベースになって、計画作業になり楽になったという点はある。だが、出されれば何も考えずにパッチを当ててしまう。いまやITは動いて当たり前になっているから、モチベーションの維持が難しい」という。

　KDDIの上谷氏の苦労も同様だ。「少しならいいが多すぎる。このため、パッチを適用することでのリスクが大きくなっている。何かあったときに確実にロールバックできなければ、社内展開は難しい。万が一のリカバリーまで考えてほしい」と訴えた。

　上谷氏が指摘するように、セキュリティを考えれば早い段階でパッチを適用しないのはわけにはいかないが、それによって引き起こされる副作用がネックとなり簡単には適用できないのも事実だ。これに対し、椎野氏は「不具合が出た場合は個別対応ではなく、パッチ自体を修正してほしい」とコメント。また、「パッチが出た後のトラブルをフォローしてほしい。掲載タイミングもバラバラな各社のWebサイトを見て回るのは難しい」と、他社製品も含めた不具合情報の集積を希望する。

　KDDIの上谷氏は「不具合があれば、業務に支障ができるから検証して当てている。だが、検証しすぎて被害が出てもいけない。さじ加減が難しい」ともらした。

　いちマイクロソフトユーザーとして同社の情報システムを担当する立場の岩崎氏も、「パッチ適用のためのリスクマネジメントが求められているのは現実。適用してダメでしたでは許されないのが辛いところだ」と述べる。だが、ハードウェアの構成を標準化するなど、影響度は下げるやり方もある。情報システム部にはこういった能動的な対応も必要な時代になってきた、と主張した。

　アクセンチュアの武田氏は「出たパッチをすべて当てられればいいが、検証は必要。また環境によっては、適用する必要のないものもある」と話す。またウイスル対策であれば、ウイルス対策ソフトやファイアウォールの設定で一時対応を行い、検証が済んでから適用する方法もあるだろうとした。

　会場からは「Windows Updateしたら不具合が発生し、再インストールでまる1日つぶれた」と、万が一のロールバックを切望する声も上がっている。中小企業には、テスト環境を用意して検証するのは現実的に難しいとの意見も出され、東氏は「少ないリソースの場合は、多層防御の考えた方で対策をしてもらえば事故を最小化できるはず」と回答した。

マイクロソフトの情報は分かりにくい

　議論はセキュリティ情報の収集にも及んだ。これにコンサルタントの立場から意見を求められたアクセンチュアの武田氏は、IPAや@Policeが日本で最も分かりやすくて効率が良いと勧める。「これらにはマイクロソフト製品以外の情報もあるし、ここに掲載されているとまずいと思ったほうがいいだろう」。

　マイクロソフトからの連絡メールを活用しているという椎野氏は、この情報に対しても「分かりにくい。ITProなどの情報サイトを読み直してやっと分かる」と皮肉なコメントをした。上谷氏は、1つの情報で判断せず、複数の情報から判断しているとし、「判断のためには、迅速で正確な情報が求められるだろう」と話した。

　マイクロソフトの情報は翻訳が分かりにくいという点では、「いっそプロのライターを雇ったらどうか」との意見も飛び出している。

Sasserワームの被害は「ほとんどない」

　脆弱性が公表され、Blasterよりも早く登場した5月のSasserだが、各社とも被害はなかったようだ。

　横河電機の椎野氏は、マイクロソフトのコンサルタントから連絡があったため、パッチの全社展開が速かったからだという。「マイクロソフトのコンサルタントから連絡があったのは、SQL Slammer、Blaster以来。だからがんばって当てた。通常はパッチの副作用によるリスクをとるか、対策をとるかの攻防になるが、今回はパッチを優先した」と語った。

　KDDIの上谷氏は詳しいコメントを避けたものの、被害はなかったという。マイクロソフトの岩崎氏も、同社はリリースから1週間でパッチを当てきるのがルールとなっているため、「まったくなかった」。武田氏も「Sasserの被害はほとんど聞かない」としており、企業はBlasterの教訓を生かしているようにも感じる。

　ただ、クライアントPCへのパッチの展開は難しい。大企業になればなるほど、この問題は大きくなる。「非常に悩むところだ。千数百台あるクライアントに適用するのはなかなか難しい」と椎野氏は話す。

　これに対し、上谷氏は「業務支障のリスクがあるので、業務部門に検証してもらって判断してもらう必要があるのでないか」と提案。岩崎氏は「ユーザー部門にとっては、セキュリティの判断は難しい。ユーザーに気がつかれずにいかにパッチを当てるかに今後はシフトしていくだろう」と反論した。

　だが、上谷氏は「SUSなどそこまでしないといけないのか、という気がしている。やっぱりもっと分かりやすくて使いやすいものにしてほしい」とマイクロソフトに要望した。

　パッチ至上主義に異を唱える武田氏は、「パッチは重要だけど、それだけがすべてではない」と述べ、そのほかの対策でセキュリティが保証されていれば、あえてリスクを犯さず、検証の後に展開することを勧めた。

　終始ユーザーからの声を受け止めていたマイクロソフトのチーフセキュリティアドバイザー・最高セキュリティ責任者の東氏。同氏は「まだまだ現場の問題の解決には至っていないと考える」「動いているシステムを止めたくない企業の理論もわかるので期待にそいたい」と話す。だが、セキュリティを担当する立場としては「ワームの発生メカニズムを見ていると、そんなにゆっくりしていていいのかなという思いもある。検証の話も分かるが、できるだけパッチを当ててほしい」と強調した。