月例パッチの予告をなぜ終了？ MS幹部が語るセキュリティ施策

Microsoftは月例パッチの一般向け予告を終了するなど、セキュリティ施策を変更しつつある。セキュリティ責任者が理由などを説明した。

[國谷武史，ITmedia]

　Microsoftは1月初旬、毎月公開している月例セキュリティ更新プログラム（月例パッチ）に関して一般向けの事前通知を終了すると発表した。月例パッチは毎月第2火曜日（日本では翌水曜日）にWindows Upadateなどで公開される。その前週末にパッチ対象の製品や件数といった情報が通知されていた。現在は有償サポートを契約している法人顧客だけに通知されている。

Microsoft最高セキュリティ責任者のジェニファー・バーン氏

　同社のワールドワイド パブリックセクター部門最高セキュリティ責任者を務めるジェニファー・バーン氏は5月12日、日本マイクロソフト本社で記者会見を行い、セキュリティ施策について説明した。バーン氏によれば、事前通知の終了は「顧客の意見や（低い）利用実態を踏まえた結果」だという。ユーザーからは継続を望む声もあったが、「効率的なパッチ適用を可能する新たな方法を検討中」だとした。

　同社が長年実施してきたパッチ提供の定例化や事前通知の取り組みは、Adobe SystemsやOracleといった他社に広がり（一部製品を対象にしているケースもある）、ユーザーにとってはセキュリティ対策を計画的に実施していく一助になっていた。

　しかしバーン氏は、「毎月決まった日にパッチを提供することが必ずしも現状に実態に即しているわけではない」と述べた。その理由は、サイバー攻撃などの脅威が目まぐるしく変化しており、特に脆弱性を悪用する手法に対処する上では“定例”という仕組みが少なからず縛りになっているようだ。同氏は「パッチのリリースはベンダーにもユーザーにも負担を強いる。常時のアップデートでユーザーの安全が常に確保されることが望ましいだろう」と話す。

月例パッチ以外にもセキュリティ新技術のいち早い実装やベンダー各社との連携、ボットネット遮断活動への貢献など、広範なセキュリティ施策に取り組んできた

　会見で月例パッチ提供の今後については言及がなかったものの、今後新たな仕組みが提供される可能性も。5月4日に同社は、法人顧客向けの更新プログラム配信管理サービス「Windows Update for Business」を発表。今後は、IT管理者がパッチ適用優先の順位を指定したり、適用するタイミングを指定したりできるようにしていく。

　また、今夏の発売が予想される最新版OSのWindows 10では「全デバイスに継続的な更新プロセスを適用する」とも表明。現在の開発者向けのプレビューではアップデートについて、「Fast」と「Slow」の2つのプロセスが提供されており、正式版でもセキュリティパッチや機能追加などのサイクルをユーザーが選択できる仕組みが用意されるとみられる。既存のWindows OSでは月例パッチの仕組みが継続するかもしれないが、同社ではWindows 7や8/8.1（企業向けなど一部除く）ではWindows 10のリリース後1年間は無償アップデートを可能するとしており、Windows 10ベースの仕組みを早急に広めたいとの考えであるようだ。

　バーン氏は、モバイルデバイスやクラウドサービスの普及によってユーザーを取り巻くIT環境の複雑性が増し、同時にセキュリティの脅威も複雑化していると指摘。従来のようなデバイス中心のセキュリティ対策はもはや難しく、IDやパスワードを含むユーザー情報とデータに主眼を置いた対策が求められるという。

　同社のビジネスがOSからマルチデバイスやクラウドなどのサービスに軸足が移りつつあり、パッチ提供を含めたセキュリティ施策の在り方も大きく変わりそうだ。バーン氏は、同社では今後ユーザーのプライバシーやデータの保護と、適切かつ容易な管理を実現する取り組みを推進していくと説明した。