セキュリティ問題はMicrosoftだけのせいじゃない（1/2 ページ）

[Don Reisinger，eWEEK]

　PCコンピューティングの世界では、この世を苦しめるすべてのセキュリティ問題をMicrosoftのせいにするのがはやりだ。「Macくんとパソコンくん」CMでWindowsのセキュリティを嘲笑しているAppleであれ、Windowsの問題を調べている無数のセキュリティ専門家であれ、少なくとも一部の人は、MicrosoftのOSがすべてのセキュリティ問題の犯人だと名指ししている。

　Mac愛好家はよくMicrosoftのセキュリティを引き合いに出す。スパイウェアへの感染を自分以外の誰かのせいにしたい人にとっても、Microsoftは格好の的だ。

　だが、Windowsエコシステムを客観的に評価すると、かなり違った結論が出てくるかもしれない。ユーザーが対処を強いられているWindowsの問題の一部はMicrosoftのせいだが、未パッチのクライアントアプリケーションが、WindowsのセキュリティにMicrosoftでもどうにもできない穴を開けている可能性があることが最近の調査で分かった。

　SANS Instituteの報告書によると、セキュリティ企業各社が悪意あるハッカーと戦っている一方で、ユーザーがパッチを当てていないクライアントソフトが大きな問題になっているという。これがPCを襲う「攻撃の波」につながり、コンシューマーから大企業まであらゆるユーザーに影響すると、同団体は主張している。

　「平均的に見て、大規模な組織がクライアントソフトの脆弱性にパッチを当てるまでの時間は、OSの脆弱性にパッチを当てるまでの時間の2倍以上だ」とSANSの報告書にはある。「言い換えれば、最も優先度の高いリスクに、優先度の低いリスクよりも注意が払われていないということだ」

　SANS Instituteの調査結果が本当だとした場合、MicrosoftはWindowsエコシステムの最大の問題ではないかもしれないと言えないこともない。確かに、ハッカーがWindows PCを攻撃しているのは、ほかのOSを搭載したPCよりも数が多く、侵入しやすいからだ。だが、セキュリティ問題の責任の一部は、アプリケーションにパッチを当てるのに時間がかかりすぎているユーザーやIT管理者にもあるはずだ。

　過去数年の間、Microsoftはセキュリティを戦略の重要な要素としてきた。同社はたいてい、問題が発生する前に潜在的な問題にパッチを当てている。脆弱性を突くマルウェアが発生しても、だいたいは手に負えなくなる前にうまく対処している。