エンタープライズ:ニュース 2003/09/17 05:22:00 更新


Protect Your PCキャンペーンが示したパッチ配布体制の前進と限界

マイクロソフトは、ユーザーにセキュリティ対策の実施を呼びかける「Protect Your PC」キャンペーンを展開する。これまでのセキュリティ啓蒙策からすれば大きな前進だが、まだ検討すべき点も多い。

 マイクロソフトは9月16日、ユーザー、特に家庭でPCを利用しているコンシューマーに対しWindows Updateとファイアウォール機能、ウイルス対策ソフトウェアの利用を呼びかけるキャンペーンを展開することを明らかにした(別記事参照)。

 この8月、MSBlastワームが猛威を振るったことは記憶に新しい。このワームがはびこる原因となったのは、7月中旬に公になったセキュリティホール(MS03-026)であり、パッチは提供済みだった。にもかかわらず、ワームが発生した8月中旬になって初めて、パッチやWindows Updateの存在を認識したユーザーが多かったのが現実だろう。たとえWindows Updateを知っていても、その重要性や使い方が分からなかったり、あるいはナローバンド環境ゆえに時間がかかりすぎたという声もままあったという。

 マイクロソフトが9月17日以降展開する一連の取り組みは、上記の反省を踏まえてのものだ。複数のメディアを通じてユーザーに3つのセキュリティ対策を呼びかけるほか、Windows XPのユーザー向けに、パッチなどを収録したCD-ROMを配布する。このCD-ROMには、Windows XP SP1aおよびSP1aリリース以降のセキュリティ修正プログラム(MS03-039まで)が収録されるほか、Windows Updateの自動更新機能を「有効」へと強制的に変更する機能が含まれている。

 これらの活動からなるキャンペーンは、普段あまりPCを利用しないユーザーにパッチ適用の重要性を呼びかけ、インターネットへの接続が困難、あるいはナローバンドを利用しているユーザーにパッチ適用の手段を提供するという意味で前進であり、その点は評価したい。しかし残念ながら、まだマイクロソフトが検討し、取り組むべき課題も多く残されているといわざるを得ない。

CD-ROMの配布対象は?

 その1つが、対象プラットフォームだ。このキャンペーンで配布されるCD-ROMはあくまでWindows XPが対象であり、サポート期間中であるにも関わらずWindows 2000などの場合は、WPCや店頭で対処法を記した「キャンペーンチラシ」を配布し、告知するにとどまっている。

 同社によるとこれは、「インストールベースが最も多いのはWindows XPであり、プライオリティが高い」(Windows Server製品部、高沢秀樹氏)ゆえの措置だ。他のプラットフォームについては、検討はするものの今のところCD-ROM配布の予定はないという。確かに限られた時間とリソースの中では、優先順位を付けて対処することは重要だ。だが被害の根絶を目指すならば、同じセキュリティホールが存在する以上、Windows XP以外のOSにも同様の救済措置を提供してもいいのではないだろうか。

 また今回の説明会では特に触れられなかったが、MS03-026のセキュリティホールはPCとして利用されている端末だけでなく、プリンタサーバなどの組み込み機器にも存在している。また、今年初めにまん延したSlammerは、SQL Server 2000およびMicrosoft SQL Desktop Edition(MSDE)に存在したセキュリティホールを悪用したワームだが、特にMSDEについては、会計ソフトなど広範なアプリケーションに含まれており、ユーザーがそれと知らずにインストールしていたケースがあった。

 こうした事実を踏まえれば、今後、ユーザーからみればブラックボックス化したセットトップボックスやインターネット家電で、同様の事態が起こらないとも限らない。ユーザーが認識することなく、脆弱性のあるOSを利用し続けてしまうという可能性も十分考えられる。その時にいったい、どのような体制でユーザーに情報を告知し、速やかに対処を行うのか。マイクロソフトとパートナー企業、それにユーザーの3者それぞれにとって、100%満足とまではいかないまでも、明確かつ納得の行くような枠組みが形作られるよう願ってやまない。

 2つめの課題は、パッチそのものの精度の向上をどう進めるかだ。これまでにも、公開されたパッチを適用した副作用で、既存のアプリケーションの動作に不具合が生じたというケースは報告されている。これには、PCにプリインストールされているものを含め、Windows上で動作するさまざまなアプリケーションを提供するサードパーティとの連携と、それに基づく情報公開(無論、分かりやすいもの)が不可欠だろう。

 またWindows Updateにも、ユーザーインタフェースの面で改良が必要だという指摘がある(別記事参照)。MSBlastをめぐる一連のどたばたの中には、パッチを適用したはずだがそれを確認する術を知らず混乱したという声もあった。残念ながら今のところ、「パッチがきちんと適用されたかどうかを簡単に確認する術はない」(同社)という。

 Windows Updateの役割についても、改めて検討が必要かもしれない。これまでのマイクロソフトの動きを見ると、常に最新の状態のものを提供するという意図もあって、パッチおよびService Packの配布の主たる経路はあくまでWindows Updateであり、CD-ROMは補助的・緊急避難的な手段と位置付けられているようだ。

 今回配布されるWindows XP用セキュリティ対策CD-ROMにしても、枚数に限りはないにせよ、配布期間は10月末まで。「(このCD-ROMによって)ナローバンド環境のユーザーでも、まず現時点までの修正パッチを適用し、Windows Updateの自動更新機能をオンにできる。あとはWindows Updateを継続して利用してほしい。差分のみをダウンロードすればよくなるため、負荷はそれほどかからなくなる」(同社Windows Server製品部、吉川顕太郎氏)。なるほど、これはこれで1つのアプローチだ。しかしユーザーの利便性を考えれば、マイクロソフトが予定していないCD-ROMでの定期的なパッチの配布(とWindows Updateとの併用)いう手法にも検討の余地はあるのではないだろうか。

中長期的には限界も

 マイクロソフトでは中長期的に、「問題が発覚するつどパッチを提供するという現在のやり方では、いずれ限界がくる」という認識も持っているといい、パッチ配布の手法も含め、抜本的な改善に踏み切る可能性を示唆している。ただ、その具体的な姿となるとまったくの未定だ。これまでの報道を踏まえて可能性を挙げてみれば、GeCAD Softwareの買収によって得たウイルス対策/防御技術の組み込みも考えられるし、別のアプローチとして、いわゆる「オートノミック(自律的)コンピューティング」による自己回復機能もありうるだろう。

 いずれにしても、パッチの配布1つとっても、まだまだ検討すべき事柄は残されている。ただ、マイクロソフト側の対応も、Code Red/NimdaやSlammer、そして今回のMSBlastを経て前進しているのも事実だ。「今回の取り組みは、あくまで『Protect Your PCキャンペーン』のフェーズ1に過ぎない。今後も幅広いパートナーと強調しながら業界挙げて取り組むほか、政府との対話を継続していく」(マイケル・ローディング社長)。以降の進展に期待したい。

関連記事
▼MS、最優先は「シールド技術」
▼Windows Update利用促進に向けたマイクロソフトの一手
▼Windowsを危険にさらすRPCのセキュリティホール

関連リンク
▼Protect Your PC
▼マイクロソフト

[高橋睦美,ITmedia]