10月度から毎月第2火曜日(米国時間)に定期リリースされることになったマイクロソフトのセキュリティ修正プログラム(以下、パッチ)。今回は同社のパッチの提供スケジュール変更の背景や今後の取り組みなどを、リリースされたばかりの管理ソフト「SMS 2003日本語版」などの話を交えて、マイクロソフト セキュリティ担当者にお話を伺った。
パッチをキチンと適用するのに、1週間という期間は余りにも短かった
|
左からセキュリティレスポンスチームシニアサポートエンジニアの佐々吉弘氏、同マネージャの奥天陽司氏、IWインフラストラクチャ製品グループマネージャの寺田和人氏
|
今回お話を伺ったのは、マイクロソフトアジアリミテッドGTSCセキュリティレスポンスチームマネージャの奥天陽司氏、マイクロソフト株式会社セキュリティ戦略グループマネージャの吉川顕太郎氏、サーバープラットフォームビジネス本部IWインフラストラクチャ製品グループマネージャの寺田和人氏。吉川氏が所属するセキュリティ戦略グループは10月1日に新設された部署で、セキュリティに関するマーケティング戦略などを、同社が出荷しているさまざまな製品間を横断的にまたいで実施していくために設立されたのだという。
まず、奥天氏にパッチの配信間隔が月1回の定期配信になった背景を伺った。同氏は、月1回になった第1の理由に“時間的余裕の無さ”を挙げた。従来のように1週間に1度もしくは不定期にリリースしていたのでは、「第1週目に公開したパッチにはギリギリ対応できるかもしれないが、第2週目のパッチが出るころにはまだ前週のパッチを適用していない“乗り遅れた”ユーザーが現われ、管理者を悩ませていたケースがあった」のだという。
このような状況が2週間、3週間と続くことにより、“パッチを当てるのが間に合わず溜まっていくユーザー”や“検証が間に合わないためにSP(サービスパック)まで待つユーザー”も出現してしまっていた。このように、脆弱性情報が公開されてから、管理者が検証し配布する、その後エンドユーザーが適用する、といった複数段階の作業を行なうためには、1週間という期間は余りにも短いというのが月1回リリースに変更した理由だ。
月1回という期間は、「管理者が検証や配布を行なうのに2週間、ユーザーが適用するのに2週間というスパンを想定しており、“1カ月に1度ならやっていけるのではないか”と考えている」と奥天氏は説明した。
犯罪者に対して毎週ヒントを与え続けているのが1番の問題
続く第2の理由には“リバースエンジニアリング技術の向上”を挙げている。脆弱性に対しては、脆弱性を発見しマイクロソフトに報告する“発見者(報告者)”と、脆弱性を攻撃するためのコード(Exploit Code:以下、攻撃コード)をインターネット上などで公開する“開発者”、攻撃コードを基に実際にウイルスやワームを作成する“実行者”の3者に大別できる。実行者は明らかな犯罪にあたるにもかかわらず、興味本位などで攻撃コードを加工しているだけの場合が多く、「報告者や開発者など比較的技術力のある者が、リスクを負って実行者になる例はあまりないだろう(吉川氏)」という。しかし、開発者はグレーゾーンであるため、マイクロソフトでは犯罪に繋がる攻撃コードの情報をインターネット上に公開しないように呼びかけている。
発見者はマイクロソフトとパートナー関係を結んでいることが多く、脆弱性を発見し同社へ報告する際、パッチが公開されるまで脆弱性の詳細な情報を公開しないような対応を取ることが多い。しかし、発見者と攻撃コード開発者が同一人物である場合もあり、そのようなケースではパッチ公開前に攻撃が発生する“ゼロデイアタック”が起こり得る。
開発者は、マイクロソフトが公開するパッチをアセンブラなどの低レベル言語で解析する“リバースエンジニアリング”技術を利用して攻撃コードを作成している場合が多い。しかもその技術は洗練されてきており、「現在ではほぼ自動化しているため、かなりの短期間でコード開発が可能(吉川氏)」な状況になってきているという。
このリバースエンジニアリング技術の発達により、マイクロソフトの脆弱性情報公開からウイルスの登場までが短くなり、Blasterのような被害の拡大に繋がっていると考えられる。この点について奥天氏は、「パッチをリリースするたびに、犯罪者に対してヒントを与え続けていた。これがパッチを月1回にした最大の理由と言ってよいだろう」と語った。
また、パッチをまとめてリリースすることにより、PCの再起動回数の軽減やパッチ容量の圧縮にも繋がるという。このような理由から、基本的に月1回定期的にリリースし、緊急時は従来通り即時リリースを行なっていく方針となった。
2004年5月末までにはインストーラーの統合などを終了させ、次の段階に
しかし、現在はまだ新しいパッチ提供システムへの移行段階の途中だという。「数年間続けてきたものを急に変えるのは難しい。もう少し時間をかけて移行を完了したい(奥天氏)」と語った。
具体的には、2004年5月末までに現在8種類あるパッチ適用のインストーラーを2種類に統合し簡潔にするほか、社内テストリソースの増員やリリース前にパッチを社外で検証するなど“パッチの質を向上”させていく。そのほか、パッチ容量の35%以上削減やリブート回数を10%以上削減など、現在パッチ適用の障害となっている要因を減らしていく。この段階を越えてから、Windows XP SP2の提供に至るという。
日本語にこだわった、独自色の強いセキュリティ情報サイトにしていきたい
この“移行期間”完了までには、日本独自の試みとして「セキュリティ関連情報の日本語にこだわって、わかりやすく」していくとしている。具体的には、Windows Updateの「インストールする更新の選択」で表示される項目の右下部分に「追加」と「削除」というボタンがあるが、この削除ボタンの意味を“PCから削除する”という意味に取るユーザーも実際にいたのだという。このようなことから、よりわかりやすくするために「インストールしない」といった“誰にでもわかる”表現に変えていく。
奥天氏は、「日本では、米国のセキュリティ情報(Security Bulletin)を日本語に翻訳しただけでは通用しないと考えている。日本では日本の独自色を強く出した“日本語のわかりやすい表現を用いた”Webサイトを提供していかなければ、多くのユーザーに伝えることができないだろう」と説明した。
このような日本語への取り組みは、「高齢ユーザーなどでもわかるようなWebサイト作り」にも繋がっていく。吉川氏は、「チャネル選択も含めて、一般紙や地方紙に掲載してもリーチできないユーザーに、いかにWindows Updateなどの必要性を伝えていくかが今最も重要な問題だ」と語った。
前編にあたる今回は、マイクロソフトのパッチ配信への取り組みに関する話を中心にまとめたが、中編となる次回ではリリースされたばかりのパッチ配信ツール「Systems Management Server(SMS) 2003」などの話を中心に紹介する。
関連情報
■URL
マイクロソフト
http://www.microsoft.co.jp/
関連記事:Gates氏の提唱によってマイクロソフトは果たしてセキュアになったのか?
http://internet.watch.impress.co.jp/www/article/2003/0331/microsoft.htm
・ マイクロソフトにセキュリティ修正プログラムの今後を聞く(後編)(2003/12/18)
・ マイクロソフトにセキュリティ修正プログラムの今後を聞く(中編)(2003/12/17)
・ マイクロソフト奥天氏講演 「1度発見した脆弱性は2度と発生しないため、発見数は先細りしていく」(2003/11/12)
( 大津 心 )
2003/12/15 11:49
- ページの先頭へ-
|