ニュース
» 2009年02月19日 16時41分 UPDATE

FirefoxやChromeを参考に:Microsoftは月例パッチをやめるべきか?

Microsoftは時としてユーザーにポリシーを強引に押しつけることもあるが、通常はそうではない。月例パッチも同社が企業に自由裁量を与えていることを示す例だ。月例方式をやめて、アップデートの適用を強制すれば、同社は顧客を失うのだろうか。

[Larry Seltzer,eWEEK]
eWEEK

 Microsoftが何年も前に月例パッチサイクルを導入した当初は、多くの人々が違和感を覚えたようだが、その後、月例パッチ方式は企業の間で広く受け入れられた。しかし、この方式に反発している人もいる。セキュリティ企業Qualysのウルフガング・カンデックCTO(最高技術責任者)もその一人だ。

 最近、幾つかのメディアで取り上げられたカンデック氏の主張とは、「少なくともInternet Explorerについては、Microsoftは月例パッチ方式を廃止し、Mozilla方式を採用すべきである」というもの。Mozillaが採用しているのは、アプリケーションが起動時に自動的にアップデートを検索し、インストールするという方式だ。

 カンデック氏の次の発言には説得力がある――「Confickerワームが猛威を振るったのは、多くの企業がしかるべき迅速さをもってパッチを適用していないというわたしの指摘を裏付けている。このワームで狙われた脆弱性についてのセキュリティアドバイザリーは、極めて明確で緊急性の高いものだった。わたしはそのとき、“この脆弱性は、真のネットワークワームの発生につながる可能性がある、まれな脆弱性の1つだ。その結果、ユーザーが何も操作しなくてもシステムが攻撃を受ける恐れがある”と警告した」

 このワームの影響を抑制する要因はたくさんある。例えば、理論上ではVistaは攻撃を受ける可能性があるが、現実には、多層防御機能があるので攻撃は不可能に近い。実際に攻撃されたシステムはすべて、XPおよびそれ以前のシステムだ。しかしエンタープライズシステムの大多数はこういった古いプラットフォーム上で動作しているため、セキュリティ意識の高いネットワーク管理者は、このパッチの適用を最優先にすべきであった。だが、多くの管理者はそうしなかった。

 もちろん、月例パッチのスケジュールが問題ではない。パッチが出る前に脆弱性が明らかになるケースは極めて少なく、また緊急を要する場合には、Microsoftは臨機応変に対応することができる。カンデック氏が指摘するように、真の問題は、ネットワーク管理者がパッチの管理作業を集約するようになり、こまめにパッチを適用しなくなったことである。そしてカンデック氏の提言の要点は、スケジュールを変更することではなく(とはいえ、同氏はIEのパッチは利用可能になった時点ですぐに出すべきだとしている)、IEは専用の独立したパッチ適用メカニズムを備えるべきであり、管理者がそれをコントロールすべきではないということだ。

 カンデック氏によると、IEのアップデートは自動的にインストールされるべきであり、管理者がテストして判断するものではないという。

 これが企業でのパッチ適用頻度を高めるのは間違いなく、わたしはカンデック氏の意見に賛成だ。パッチの導入に伴うアプリケーション互換性問題は、パッチを適用しないことによる潜在的なセキュリティ問題と比べれば大したことではないと、わたしは考えている。だが、それはわたしが決めることではない。また、企業でパッチを適用するかどうかを決めるのは、わたしでもなければMicrosoftでもない。それはネットワーク管理者の責任である。そしてMS08-067パッチの適用を急がないことに決めたために、社内でConfickerが発生した場合、その報いを受けるのはネットワーク管理者なのである。Microsoftのせいではない。彼らはパッチを提供し、この事態がいかに深刻であるかも通知しているのだから。

 個人ユーザーや非管理ネットワークの場合も、月例パッチ方式にメリットがあるとは思えない。Windowsでは何年も前から自動アップデートがデフォルトで有効になっているので、エンドユーザーは当然、アップデートを受けているはずだ。これは、ユーザーが自動アップデートを無効にしていないことが前提だが、実際には驚くほど多くのユーザーが無効にしているのだ。

 IEのパッチについても、こういったユーザーは、パッチによって調子が悪くなったという話をどこかで聞いただけでパッチを適用するのを先送りするのではないだろうか。

 カンデック氏が示唆している唯一の選択肢は、そのような決定権をユーザーの手から取り上げることである。GoogleのChromeのように、確認を求めずにパッチを適用するのである。Firefoxもそれに近い方式を採用している。Firefoxの場合は確認を求めるが、ユーザーが「イエス」と答えるまで何度も質問をするのだ。また、ネットワークレベルではアップデートを管理できないようになっている。

 Firefoxの押しつけがましい方式は、必ずしも決定打にはならないようだ。Googleのユーザーエージェントデータに基づくドイツの調査によると、「Firefoxユーザーでは、最もセキュアな最新版の割合が80%を超えることはなかった」としている。つまりFirefoxでさえも、一部のユーザーはアップデートを怠っているのである。どうやら、ユーザーの自由に任せるという方法はうまくいかず、Chromeのパッチ強制適用方式が唯一の選択肢であるようだ。

原文へのリンク

Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.

ピックアップコンテンツ

- PR -

注目のテーマ