Microsoftは月例パッチをやめるべきか?:FirefoxやChromeを参考に
Microsoftは時としてユーザーにポリシーを強引に押しつけることもあるが、通常はそうではない。月例パッチも同社が企業に自由裁量を与えていることを示す例だ。月例方式をやめて、アップデートの適用を強制すれば、同社は顧客を失うのだろうか。
Microsoftが何年も前に月例パッチサイクルを導入した当初は、多くの人々が違和感を覚えたようだが、その後、月例パッチ方式は企業の間で広く受け入れられた。しかし、この方式に反発している人もいる。セキュリティ企業Qualysのウルフガング・カンデックCTO(最高技術責任者)もその一人だ。
最近、幾つかのメディアで取り上げられたカンデック氏の主張とは、「少なくともInternet Explorerについては、Microsoftは月例パッチ方式を廃止し、Mozilla方式を採用すべきである」というもの。Mozillaが採用しているのは、アプリケーションが起動時に自動的にアップデートを検索し、インストールするという方式だ。
カンデック氏の次の発言には説得力がある――「Confickerワームが猛威を振るったのは、多くの企業がしかるべき迅速さをもってパッチを適用していないというわたしの指摘を裏付けている。このワームで狙われた脆弱性についてのセキュリティアドバイザリーは、極めて明確で緊急性の高いものだった。わたしはそのとき、“この脆弱性は、真のネットワークワームの発生につながる可能性がある、まれな脆弱性の1つだ。その結果、ユーザーが何も操作しなくてもシステムが攻撃を受ける恐れがある”と警告した」
このワームの影響を抑制する要因はたくさんある。例えば、理論上ではVistaは攻撃を受ける可能性があるが、現実には、多層防御機能があるので攻撃は不可能に近い。実際に攻撃されたシステムはすべて、XPおよびそれ以前のシステムだ。しかしエンタープライズシステムの大多数はこういった古いプラットフォーム上で動作しているため、セキュリティ意識の高いネットワーク管理者は、このパッチの適用を最優先にすべきであった。だが、多くの管理者はそうしなかった。
もちろん、月例パッチのスケジュールが問題ではない。パッチが出る前に脆弱性が明らかになるケースは極めて少なく、また緊急を要する場合には、Microsoftは臨機応変に対応することができる。カンデック氏が指摘するように、真の問題は、ネットワーク管理者がパッチの管理作業を集約するようになり、こまめにパッチを適用しなくなったことである。そしてカンデック氏の提言の要点は、スケジュールを変更することではなく(とはいえ、同氏はIEのパッチは利用可能になった時点ですぐに出すべきだとしている)、IEは専用の独立したパッチ適用メカニズムを備えるべきであり、管理者がそれをコントロールすべきではないということだ。
カンデック氏によると、IEのアップデートは自動的にインストールされるべきであり、管理者がテストして判断するものではないという。
これが企業でのパッチ適用頻度を高めるのは間違いなく、わたしはカンデック氏の意見に賛成だ。パッチの導入に伴うアプリケーション互換性問題は、パッチを適用しないことによる潜在的なセキュリティ問題と比べれば大したことではないと、わたしは考えている。だが、それはわたしが決めることではない。また、企業でパッチを適用するかどうかを決めるのは、わたしでもなければMicrosoftでもない。それはネットワーク管理者の責任である。そしてMS08-067パッチの適用を急がないことに決めたために、社内でConfickerが発生した場合、その報いを受けるのはネットワーク管理者なのである。Microsoftのせいではない。彼らはパッチを提供し、この事態がいかに深刻であるかも通知しているのだから。
個人ユーザーや非管理ネットワークの場合も、月例パッチ方式にメリットがあるとは思えない。Windowsでは何年も前から自動アップデートがデフォルトで有効になっているので、エンドユーザーは当然、アップデートを受けているはずだ。これは、ユーザーが自動アップデートを無効にしていないことが前提だが、実際には驚くほど多くのユーザーが無効にしているのだ。
IEのパッチについても、こういったユーザーは、パッチによって調子が悪くなったという話をどこかで聞いただけでパッチを適用するのを先送りするのではないだろうか。
カンデック氏が示唆している唯一の選択肢は、そのような決定権をユーザーの手から取り上げることである。GoogleのChromeのように、確認を求めずにパッチを適用するのである。Firefoxもそれに近い方式を採用している。Firefoxの場合は確認を求めるが、ユーザーが「イエス」と答えるまで何度も質問をするのだ。また、ネットワークレベルではアップデートを管理できないようになっている。
Firefoxの押しつけがましい方式は、必ずしも決定打にはならないようだ。Googleのユーザーエージェントデータに基づくドイツの調査によると、「Firefoxユーザーでは、最もセキュアな最新版の割合が80%を超えることはなかった」としている。つまりFirefoxでさえも、一部のユーザーはアップデートを怠っているのである。どうやら、ユーザーの自由に任せるという方法はうまくいかず、Chromeのパッチ強制適用方式が唯一の選択肢であるようだ。
関連記事
Downadup/Conficker対抗でセキュリティ業界が結束
各国で猛威を振るっているDownadup/Confickerワームを食い止めるため、業界が知識やノウハウを結集する。
2月のMS月例パッチ公開、IEとExchangeなどの脆弱性に対処
2月の月例パッチは4件。IEとExchange Serverの脆弱性が「緊急」レベル、SQL ServerとOffice Visioの脆弱性が「重要」レベルとなる。
Google Chromeに深刻な脆弱性、アップデートで対処
脆弱性を悪用されると攻撃者に任意のコマンドを実行される恐れがある。
Firefox 3の更新版公開、深刻な脆弱性に対処
Firefox 3.0.6では、任意のコード実行の脆弱性など6件の脆弱性が修正された。- Google Chromeのセキュリティ機能はそれほどでもない?
Chromeにはほかのブラウザと同等のセキュリティ機能が多数搭載されているが、これだけでユーザーの乗り換えを促進できるだろうか。
Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
- 投資家たちがセキュリティ人材を“喉から手が出るほどほしい”ワケ
- 「Gemini」でBigQuery、Lookerはどう変わる? 新機能の詳細と利用方法
- AIを作る、使う人たちへ 生成AI普及で変わった「AI事業者ガイドライン」を読もう
- Appleの生成AI「MM1」は何ができるの? 他のLLMを凌駕する性能とは
- ゼロトラストの最新トレンド5つをガートナーが発表
- WordPressプラグイン「Forminator」にCVSS 9.8の脆弱性 急ぎ対処を
- OpenAI Japan設立 岸田首相への宣言から1年 日本語特化GPT提供へ 速度3倍コスト半減
ITmediaはアイティメディア株式会社の登録商標です。