MSのセキュリティ担当者がAppleに説教(2/2 ページ)
トゥールーズ氏、Appleのアドバイザリを酷評
「Appleの最近のセキュリティアップデートのドキュメントを読んだ。そこにはユーザーがリスクを判断する上で参考になるような情報は何もない。攻撃者は何をすることができて、何ができないかといったことや、ユーザーが知りたがっているそのほかの情報に関するFAQも見当たらない。アップデートをすぐに導入することができないユーザーのための応急処置も記載されていない」とトゥールーズ氏は指摘する。
「Appleのセキュリティドキュメントには、企業向けの配備情報が見当たらない。ユーザーがリスクを判断する上で参考となる問題の緊急度も示されていない。こういった情報が必要なのは、アップデート作業が業務の中断を伴うこともあるからだ。アップデートが正しく適用されたか確認するのに必要なファイルリストも見当たらない。アップデートによる変更がアプリケーションとの既知の互換性問題を引き起こしたり、サポートを必要とする問題が生じた場合についての注意も記載されていない」と同氏は付け加える。
「ユーザーがアップデートを適用する際に手助けを必要とする場合もあるが、Appleのセキュリティ情報にはアップデートのトラブルに関するサポートのフリーダイヤル番号が載っていない」(トゥールーズ氏)
さらに同氏は、「Microsoftのパッチ発行前のセキュリティアラートおよびそれに続くセキュリティブリティンには、そういった情報がすべて含まれている。ユーザーがそれを求めているからだ」と強調する。
最初のアップデートで問題が起きたために、Appleがセキュリティパッチを再リリースすることを余儀なくされたときも、トゥールーズ氏はブログに記事を投稿し、Apple社内でのセキュリティ対策の連携改善を求めるとともに、Appleが「パッチのパッチ」を発表する方法に幾つかの問題があることを指摘した。
「彼らは最初のアドバイザリで、新バージョンが提供されていることを伝えた。それはそれでいいのだが、RSSフィードが用意されていなかった。すべてのサポート記事にRSSフィードが用意されているにもかかわらず、セキュリティアップデートに関する記事だけがそうなっていないのだ。Appleはセキュリティ情報のメーリングリストも持っている。しかしこのメーリングリストでも、アップデートにバグがあったために新バージョンが提供されたことには触れていないようだ」と同氏は記している。
「OS Xには自動アップデート機能が組み込まれているので、そういったことは必要ではないという議論もあるかもしれないが、アップデートのアップデートがあったという事実は、ユーザーが自動アップデート機能を無効にしている可能性があるということを意味する。アップデートのバグという問題があるので、配備の前にアップデートをテストするために、この機能をオフにするかもしれないからだ」(トゥールーズ氏)
Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 爆売れだった「ノートPC」が早くも旧世代の現実
- SharePointのダウンロードイベントログを回避する2つの手法が見つかる
- Rustの標準ライブラリにCVSS 10.0の脆弱性 任意のシェルコマンドを実行されるリスク
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
- キヤノンがグローバル330社の経営管理基盤を構築 連結決算を合理化した方法は?
- AI導入はカンタン? 調査からセキュリティ専門家たちがナメている可能性があると判明
- 「テクノロジー乱立問題」に立ち向かう 自社標準を決める“とってもシンプルな方法”とは?
- GoogleやMetaは“やる気なし”? サポート詐欺から自力で身を守る方法
- Copilot for Securityはどう使えばいい? マイクロソフトがプロンプトの例を公開
- VMwareが「ESXi無償版」の提供を終了 移行先の有力候補は?
ITmediaはアイティメディア株式会社の登録商標です。