誕生なるか!? 日本人初のSANS公認インストラクター（2/2 ページ）

[岡田靖，ITmedia]

パッチを当てたくないユーザーとスピアフィッシングの関係

　パーラー氏は脆弱性対策のためのパッチに関する課題にも触れ、「最近の攻撃は、多くのコンピュータにパッチが適用されるより早く行われるようになってきた。だが、それでもユーザーはパッチの適用を望んでいない。環境に応じたコンフィグレーションを行った上でソフトウェアを使っているため、そのコンフィグレーションでのテストを行うのに負担が掛かる」と指摘する。

　こうした課題に対し、米国の連邦政府では単一コンフィグレーションでの運用を試みているという。例えば、約50万台にも上るクライアントについて、Windowsを単一のコンフィグレーションで運用することによりテストに要する時間を短縮、パッチが出てから24時間以内に適用できるようにするとのことだ。

　「SANSやNSA（National Security Agency：国家安全保障局）、米空軍、さらにマイクロソフトなどのベンダーがかかわって、そうした体制を作っている。Windowsについて言えば、Windows XPではOSの標準コンフィグレーションでなく独自のコンフィグレーションだったので、パッチ適用前には2通りのテストが必要だった。Windows Vistaでは標準コンフィグレーションが連邦政府の基準に合うようになったので、1通りのテストだけで済むようになっている」（パーラー氏）

　そしてこうした動きは、ほかのベンダーに関しても進められているという。

SANS Instituteのアラン・パーラー代表

　一方、パッチ適用に関しては、スピアフィッシングの手法としても悪用されている。ある企業の情報セキュリティ担当者をかたるメールで「Windowsに大きな脆弱性があり、当社ではマイクロソフトから未公開パッチを入手したので、迅速に適用してほしい」とマルウェア配布サイトに誘導するようなケースがあるのだ。

　パーラー氏は「インサイダーを装っているだけに、従業員や役員も引っかかりやすい。対策としては、これまで行われてきたような各種の対策に加え、エンドユーザーのセキュリティ意識をより向上させる教育が大切だ」として、ニューヨーク州での取り組みを紹介した。

　「ニューヨーク州では、ただ危険を教えるのではなく実際に体験をさせて、セキュリティ意識を植え付けるようなトレーニングを開始している。実体験によって、より強いセキュリティ意識が身に付く」