わたしは、みんなからコンピュータの問題を持ち込まれるタイプの人間だ。先日は電気技師から、彼がしばらく留守にしている間にコンピュータをオフにしていた時の話を聞いた。
彼は最新のウイルス対策ソフトとファイアウォールを持っていたが、彼が自宅に帰ってコンピュータをつけると、何かが入り込んできて彼を攻撃した。
これが一般的な問題だということにわたしはがく然とした。そしてこの問題はおそらくもっと悪化するだろう。
最近のZotobのエピソードを考えてみよう。最初のZotobが登場したのは、このワームが悪用する脆弱性が公表され、パッチがリリースされてから1週間も経たないうちのことだった。
このとき、どうしてコンピュータにパッチが当てられていなかったのかは簡単に理解できる。脆弱性が公表されてから1週間もたたないうちに、箱から出したばかりの新しいコンピュータがインターネットに接続され、攻撃にさらされた様子も容易に分かる。
(新しいコンピュータならWindows XPを搭載しており、基本的にはZotobとそれに関連する攻撃に対して脆弱ではないが、ここでは全般的な話をする)
実際、コンピュータを使わないときはオフにしておくべきだというセキュリティアドバイスは珍しくない。コンピュータがインターネット上で攻撃される時間を減らすという理屈だ。
だがこれは、コンピュータをアップデートする時間も減らしてしまうという皮肉な点を見落としている。このことからわたしは、コンピュータを付けっぱなしにしておくよう薦めるコラムを書いた。
もっといい答えがあるとしたら、それはWindowsが完全にネットワークスタックを有効にする前に、特殊な通信モードに入るという方法だろう。「ホワイトリスト」アドレス(厳しく保護しなくてはならない)で、ユーザーが大きくはっきり見えるユーザーインタフェースの要素を使ってホワイトリストモードから抜けるまでの間、コンピュータが通信するサイトだけを定義するのだ。
このホワイトリストに加えるべき最も明白なサイトは、Microsoftの各種アップデートサイトだ。企業ではSUSサーバか、その他の関連サーバになるかもしれない。OEMなら独自のアップデートサイトや、SymantecのLiveUpdateなどのバンドルセキュリティソフトのアップデートサイトを加えるだろう。
ホワイトリストモードに入ると、ユーザーは利用可能なアップデートのリストを提示され、アップデートをダウンロードしてインストールするか聞かれる。あるいは、すべてのアップデートを自動的にインストールしてからこのモードを終了するようポリシーを設定する。
わたしには、パーソナルファイアウォールがこのようなポリシーを施行する適切なポイントになるように思える。おそらく最近のファイアウォールはどれでも、このような保護を提供するようアップデートできるだろう。
わたしが間違っていないのなら、Windows XP SP2はネットワークスタックが有効になる前にWindows Firewallか、ユーザーのサードパーティーのファイアウォールをロードする。
実際、(Microsoftも含め)どのファイアウォールベンダーもこのモードを実装できるだろうが、わたしとしてはホワイトリストやこのモードの振る舞いについて何らかの標準が開発されることを望む。
コンピュータをしばらく放っておくと、再びホワイトリストモードに入るようにするのもいいかもしれない。そうすれば、ユーザーがシステムを一晩中放っておいた場合に、起こり得るのはソフトのアップデートだけになる。
確かにこのモードはコンピュータでの電子メールの受信やP2Pサービスを妨げるが、その解決策としては、ホワイトリストモードが有効に機能する程度にユーザーに選択を許すという手段がある。
わたしが考えている通り、ホワイトリストモードは大きな穴ではなく、可能性の低い珍しいケースに対処する。問題は、純粋に不運から、十分な保護を講じたユーザーすらこうしたケースに陥ってしまうということだ。このモードはこうしたヒビを埋め、ユーザーにセキュリティの手配や、自分のシステムが最新の状態になっているのかを意識させる取り組みを強化すると思う。
Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.
Special
PR