パーラー氏は脆弱性対策のためのパッチに関する課題にも触れ、「最近の攻撃は、多くのコンピュータにパッチが適用されるより早く行われるようになってきた。だが、それでもユーザーはパッチの適用を望んでいない。環境に応じたコンフィグレーションを行った上でソフトウェアを使っているため、そのコンフィグレーションでのテストを行うのに負担が掛かる」と指摘する。
こうした課題に対し、米国の連邦政府では単一コンフィグレーションでの運用を試みているという。例えば、約50万台にも上るクライアントについて、Windowsを単一のコンフィグレーションで運用することによりテストに要する時間を短縮、パッチが出てから24時間以内に適用できるようにするとのことだ。
「SANSやNSA(National Security Agency:国家安全保障局)、米空軍、さらにマイクロソフトなどのベンダーがかかわって、そうした体制を作っている。Windowsについて言えば、Windows XPではOSの標準コンフィグレーションでなく独自のコンフィグレーションだったので、パッチ適用前には2通りのテストが必要だった。Windows Vistaでは標準コンフィグレーションが連邦政府の基準に合うようになったので、1通りのテストだけで済むようになっている」(パーラー氏)
そしてこうした動きは、ほかのベンダーに関しても進められているという。
一方、パッチ適用に関しては、スピアフィッシングの手法としても悪用されている。ある企業の情報セキュリティ担当者をかたるメールで「Windowsに大きな脆弱性があり、当社ではマイクロソフトから未公開パッチを入手したので、迅速に適用してほしい」とマルウェア配布サイトに誘導するようなケースがあるのだ。
パーラー氏は「インサイダーを装っているだけに、従業員や役員も引っかかりやすい。対策としては、これまで行われてきたような各種の対策に加え、エンドユーザーのセキュリティ意識をより向上させる教育が大切だ」として、ニューヨーク州での取り組みを紹介した。
「ニューヨーク州では、ただ危険を教えるのではなく実際に体験をさせて、セキュリティ意識を植え付けるようなトレーニングを開始している。実体験によって、より強いセキュリティ意識が身に付く」
Copyright © ITmedia, Inc. All Rights Reserved.