Internet Watch logo
記事検索
イベントレポート
【 2009/06/12 】
ひろゆき氏&夏野氏が講演「日本のネットは決してダメじゃない」
[18:57]
携帯ゲーム機のような見た目のNGN対応回線品質測定器
[14:28]
ISAO、IPデータキャストを利用したサービスイメージを展示
[11:33]
【 2009/06/11 】
アナログ停波後の周波数帯域を利用したマルチメディアサービス
[18:50]
日テレが「ニュース検索API」などを紹介、国内の地上波放送局初
[18:36]
UQ Com田中社長、高速&オープン志向「UQ WiMAX」のメリット語る
[17:45]
主催者企画コーナーでは「ServersMan@iPhone」のデモも
[11:13]
国内初のデジタルサイネージ展示会、裸眼で見られる3D映像など
[11:12]
【 2009/06/10 】
CO2排出量が都内最多の地域、東大工学部のグリーンプロジェクト
[20:01]
IPv4アドレス枯渇で「Google マップ」が“虫食い”に!?
[19:29]
UQ Com、7月の有料サービス開始に向けて「UQ WiMAX」をアピール
[19:20]
「Interop Tokyo 2009」展示会が開幕、今年はひろゆき氏の講演も
[14:53]

修正パッチはすぐに適用すべき!? ~セキュリティパネルディスカッション


 マイクロソフトは、6月2日から3日まで企業向け製品やサービスに関するカンファレンスなどを行なう「the Microsoft Conference 2004」を東京国際フォーラムで開催している。2日には、「マイクロソフトの“セキュリティ”に関する方針と新たな取り組み」と題したセッションが行なわれた。同セッションの後半は、マイクロソフトの東貴彦執行役最高セキュリティ責任者や、アクセンチュア先端技術本部の武田圭史セキュリティ担当マネージャー、KDDI情報システム本部コーポレートシステム部OAネットワークグループの上谷真史課長補佐、横河電機経営管理本郡の椎野彰朗係長、マイクロソフトアジアリミテッドの岩崎光洋氏の4名によるパネルディスカッションが行なわれた。


“動いて当たり前”の維持は大変、“パッチ当てのリスクマネジメント”が必要

マイクロソフトの東貴彦執行役最高セキュリティ責任者

アクセンチュア先端技術本部の武田圭史セキュリティ担当マネージャー
 業務で困っていることと問われて最初に回答したのは、横河電器の情報システムを企画・運用する椎名氏。「困っているというより、やりたくないことは修正パッチの適用。月次サイクルに変更してからは楽になったはずだが、“動いて当たり前”を維持するのは大変だ」という。続いて、KDDIで社内インフラを運用する上谷氏は、「月次になったものの、依然として修正パッチの量は多い。パッチに何か不具合があった場合に、パッチを当てる以前の状態に復帰する機能の実装を徹底して欲しい」と要望。「この復帰が確実にできないと、社内展開が難しい」と述べた。

 こうした意見に対し、マイクロソフト全社の情報システムを担当する岩崎氏は、「パッチ適用時に何かあっても、ビジネスタイムを止めないシナリオはいくつかある」という。「マイクロソフトの社内システムはほとんど標準構成で利用しており、その点で特殊なアプリケーションによって引き起こされる不具合リスクは少ない。一般企業とは異なる環境」だとしている。

 岩崎氏は、「特殊なアプリケーションを利用する企業は、“パッチ当てのリスクマネジメント”を考える必要があるのではないか」という意見も示し、「情報システムの部署では、パッチを当てて『ダメだった、あはは』ではすまされない。予想外の行動をとるユーザーもしっかり誘導する必要がある」という。

 また、システム関連のコンサルティングを行なっているアクセンチュアの武田氏は、「定期的にWindows Updateでパッチを適用することで、従業員にとっては啓蒙になるのではないか」との見解を示した。


マイクロソフトでは、発表から1週間以内に全社9万台のPCにパッチを適用

 マイクロソフトでは「パッチが発表されてから1週間以内に、全社9万台のPCにパッチ適用を完了させる社内ルールがある。パッチ適用の優先度は一番高く、基幹システムなどでも発表と同時に即適用させている」(岩崎氏)という。東氏も、「パッチが発表されたら、できるだけ早く適用させて欲しい。企業であれば、一度情報システム業務を担当する部署が検証すべきだが、修正パッチを適用させても悪影響のないシステムを検討することも方法として考えられるのではないか」と述べた。

 椎名氏は、「Sasser流行時は、パッチの不具合を前提に適用せざるを得なかった。おかげでSasser自体の感染は防げたものの、PCが起動しない、画面がブルーバックになるなどの問い合わせが多発したのも事実」だという。

 「発表があったら何も考えずに適用するというのは、ポリシー的にどうか」としたのは武田氏。「修正パッチを適用しなくとも、脆弱性をカバーできるなら無理に適用する必要ない」と断言。「例えば、Sasserは国内被害が少なかった。これはクローズドな環境で持ち込みPCの接続を防ぐことで感染を抑止できたのではないか」と述べた。

 KDDI上谷氏は「検証に時間がかかり過ぎて、ウイルス被害が発生する場合もある。さじ加減が難しい」と述べ、現場の運用面における適用の難しさを指摘した。


KDDI情報システム本部コーポレートシステム部OAネットワークグループの上谷真史課長補佐 横河電機経営管理本郡の椎野彰朗係長

情報システム部門には技術以外の能力も要件に

マイクロソフトアジアリミテッドの岩崎光洋氏
 脆弱性情報については、「IPAや@Policeなど」(武田氏)を参考にし、「複数の情報源から優先度などを確認する場合もある」(上谷氏)という。

 椎名氏は、マイクロソフトに対して「修正パッチの不具合情報を提供して欲しい」と要望。「他社製品との互換性情報も少ない」という。また、現状のマイクロソフトのWebサイトに関して、「和訳の質を向上させて欲しい」と述べた。

 このほか、今後のセキュリティ対策については、「情報システム部門には技術だけでなく、マネジメント力が求められている」(椎名氏)、「対策をとらなかった場合の被害を上層部を交えて認識する必要がある」(上谷氏)、「これまでコストダウン中心だったが、法務や人事と交渉する力も必要だ」(岩崎氏)と、技術以外に必要とされる要件が増えていることを各氏が指摘した。

 武田氏は、「対策はここ1年で大きく変化した。個人情報保護法の施行も間近に迫り、場当たり的な対応から全社的な対応へ移行しつつある」と分析。今後は、「『情報セキュリティだからなんでもやる』というよりは、『なぜこの対策を取るのか』という当たり前の視点を持って効果的にセキュリティ投資を行なって欲しい」と呼びかけた。

関連情報

URL
  the Microsoft Conference + expo 2004
  http://www.event-registration.jp/events/msce04/


( 鷹木 創 )
2004/06/02 20:57

- ページの先頭へ-

Internet Watch ホームページ
Copyright (c) 2004 Impress Corporation All rights reserved.