「製品以外の部分でもセキュリティ強化を支援」とMS、VisioとMBSAの連携ツールも

マイクロソフトは3月16日に行われた「SECURITY SUMMIT 2005」で、製品以外のさまざまな側面からセキュリティ強化を支援していくと述べた。

[高橋睦美，ITmedia]

　マイクロソフトは3月16日に開催した「SECURITY SUMMIT 2005」の中で、たびたびあることを強調した。「テクノロジを改善し、脆弱性を減らすことに努めるのは当たり前だが、同時に、導入／運用プロセスを支援するためのガイダンスやツール、トレーニングを充実させていく」という点だ。

　その1つの例として、パッチの適用状況を検査し、セキュリティレベルの維持を支援する「Microsoft Baseline Security Analyzer（MBSA）」とVisioを連携させる「Microsoft Office Visio 2003 Connector for MBSA」が紹介された。

　これは、MBSAによるパッチ適用状況のチェック結果を、Visio 2003で作成したネットワーク図に視覚的に反映させるアドオンツールだ。どの機器に、どんな脆弱性があるかをより直感的に把握できるといい、同社Webサイトより無償でダウンロードできる。

MSBAの結果を色分けしてグラフィカルに表示できるアドオンツール

　またマイクロソフトは「Trustworthy Computing」を提唱し始めて以来、地味ながらこつこつと、セキュリティ関連のドキュメント類を充実させてきた。その多くは日本語にも訳され、同社Webサイトのセキュリティ ガイダンス センターなどから閲覧できる。中には、Windows NT 4.0やWindows 98といったOS向けのドキュメントも含まれている。

パッチ提供環境の改善

　セミナーの中では同時に、セキュリティパッチ適用／提供環境の改善についても言及がなされた。

　米Microsoftのセキュリティビジネス／テクノロジーユニットでシニアディレクターを務めるジョージ・スタタクポラス氏によると、Blasterワームの発生以降、パッチの適用に関して顧客からさまざまな要望を受けたという。中でも特に強かったのは、システム停止などを招かないようパッチの品質を向上させること、そしてパッチ適用に要する作業負荷を減らすことだ。

　現在同社は、「できるだけしっかりした品質のパッチを届けるよう心がけている」（スタタクポラス氏）という。同社内で事前テストを行うのはもちろん、特定の顧客やパートナーを対象にしたベータテストプログラム「Security Update Validation Program」を通じて品質の担保を図っている。

パッチ適用が大きな負担をかけているのは認識しているとし、Microsoft Updateとはじめとする改善を進めるとしたスタタクポラス氏

　一方で、パッチ適用によるシステムトラブルなどのリスクを避けるため「ポートをふさいだり、特定のサービスを停止させるといったコード以外の解決策も、合わせて提供するようにしている」（同氏）。

　過去の経験から得られたもう1つの教訓は、「アップデートを提供するWebサイトがごちゃごちゃしていて分かりにくかったこと」（スタタクポラス氏）だ。これを踏まえ、Windows UpdateやOffice Update、ダウンロードセンターなどを集約し、2005年後半にかけて「Microsoft Update」へ統合していくという。パッチ適用作業に必要な人員などの準備を支援する、パッチ情報の「予告」も継続していく方針だ。

　「更新プログラムの適用が大きな負担になっていることは重々承知しているが、非常に重要なこと」と同氏は述べ、できる限りマシンを最新の状態に保ち続けてほしいと呼びかけた。