「明確かつ一貫した情報を提供していきたい」と米MSRC担当者

米Microsoftにおいて脆弱性報告の受付や調査、対処、関係組織との調整といった一連の対応に当たるMSRCの担当者が来日。パッチおよび脆弱性情報の提供体制について語った。

[高橋睦美，ITmedia]

　「脆弱性が発見され、悪用コードが公になるまでの時間は非常に短くなっている。Blasterのときはそれでも、ワーム化するまでに3週間ほど時間があった。しかしSasserではそれが短縮化し、2月に発見されたMSN Messengerの脆弱性については、わずか数時間のうちに実証コードが公開された。レスポンスまでの猶予は非常に少なくなっている。対応までに時間を置いてはいけない」――。

　米Microsoftにおいて脆弱性の報告を受け付け、その調査や対処、関係組織との調整といった一連の対応に当たるMicrosoft Security Response Center（MSRC）でマーケティング＆通信担当ディレクターを務めるデビー・フライ・ウィルソン氏は、脆弱性をめぐる状況についてこのように語った。

顧客から最も多い要望は「より多くの情報、より密なコミュニケーションがほしい」というものだったと語ったウィルソン氏（左）とキーン氏

　ウィルソン氏と、同じくMSRCのディレクターを務めるケビン・キーン氏はこのたび、同社のパッチおよび脆弱性情報の提供体制について、顧客からの意見を得ることを目的に来日した。その中でもっとも多く聞かれた声の1つが「より信頼できて、より明確な情報を、より迅速に提供してほしい」というものだったという。

　「顧客にとって時間は貴重なもの。情報を探しにいくだけでも時間がかかるし、答えがあいまいだったり、混乱させるものだったり、あるいは相反するものだったりしても困ってしまう。大事なことは、ユーザーが即座に対応できるよう、分かりやすく、明確でかつ一貫した情報を提供すること」（ウィルソン氏）。

　先日より試験的に公開を開始した「Microsoft Security Advisory」も、そういった声を踏まえたものだという。

　「これまでわれわれは、脆弱性が発見されてからそれが修正されるまでは公表しないというポリシーでやってきたため、沈黙の時間が長いように見えたと思う」とウィルソン氏。しかし、「世界は変わっており、脅威はより高度化している」（同氏）。対処まであまり余裕をおけなくなっていることを踏まえ、Microsoft Security Advisoryを通じて、パッチがまだ準備できていない問題についても迅速に回避策や設定の変更を行うための情報を提供する方針だという。

　時折、マイクロソフトを騙ったウイルスメールも登場するが、「われわれがバイナリコードをメールで送ることはありえない」（キーン氏）。パッチおよび関連情報については、まずダウンロードセンター確認してほしいという。また、将来的には、マイクロソフトが送信するメールに電子署名を追加するといったことも検討しているという。

　セキュリティパッチについては、適用することでかえって動作に不具合が生じてしまうという「品質」の問題も付きまとう。キーン氏は、この点もまだ改善の余地があるとした。「パッチをレビューし、プロセスを検証するという手順の改善を継続的に進めていく」（同氏）。

　なお、脆弱性情報の公開については、「誰かが善意で実証コードや攻撃コードを公開したとしても、不幸なことに悪意を持った人物がそれをまねする可能性は否定できない。したがってわれわれは、あらゆるユーザーを守るために『責任ある開示』というアプローチを提唱したい」（ウィルソン氏）。

　さらに、このアプローチを推進していく上で、セキュリティ研究者との協力は非常に重要だとした。「よりよい製品を作り上げ、脆弱性を管理していくためには、問題の発見者と対話を持つことが大事だ」（同氏）。

ツールやガイダンスを通じて「多層的な防御」を支援

　パッチ以外の面でもセキュリティ強化の取り組みを進めている。昨年リリースしたWindows XP SP2ではさまざまなセキュリティ機能を強化したが、さらに自動アップデート機構の改善、アンチウイルスやアンチスパイウェア機能を通じて「多層的な防御」を実現していくという。

　すでに同社では、ウイルス対策ソフトを「補完」するという位置付けで、「悪意あるプログラムの削除ツール」を提供している。加えてアンチスパイウェアツールのベータ版を提供するほか、コンシューマー向けのサブスクリプションサービスを発表した。

　一方企業向けには、先日のSybari Softwareの買収を元に、「複数のアンチウイルスベンダーから情報を集め、より包括的なソリューションを提供できるようにする」（ケビン氏）方針だ。「たいていの企業はアンチウイルスソフトを導入している。にもかかわらず94％がメール経由で攻撃を受けている」（同氏）。複数のウイルス対策用シグネチャを組み合わせることで、より確実な対処を支援していくという。

　Microsoftによるセキュリティツールの充実はありがたいことだが、そもそも製品の品質を上げ、最初からセキュリティホールがないようにしてもらえれば話は簡単なはずだ。ウィルソン氏はその点にも同意し、「品質向上はわれわれにとって継続的な課題。セキュアなコーディングの教育やエンジニアのトレーニング、プロセスのレビューといった取り組みを通じて、安全なソフトウェア開発に努めている」と述べた。

　Microsoftでは、脆弱性情報の提供、各種ツールやガイダンスの提供に加え、何か緊急事態が起こったときに迅速にリソースを投入できるような体制を整えテイク方針という。また、業界全体のエコシステムも重視している。「業界全体にまたがる取り組みが必要だ。コミュニティとの協力は非常に重要な分野だと考えている」（ウィルソン氏）。