Internet Watch logo
記事検索
特別企画
【 2009/06/11 】
6月のマイクロソフトセキュリティ更新を確認する
[20:03]
【 2009/06/09 】
「Googleブック検索」和解案と電子書籍ビジネスの行方(後編)
[12:52]
【 2009/06/08 】
「Googleブック検索」和解案と電子書籍ビジネスの行方(前編)
[14:12]
【 2009/06/04 】
多彩なリフィルでタスクも予定も柔軟に管理できる「xfy Planner」
[10:54]
【 2009/06/02 】
DirectShowのゼロデイ脆弱性に対応する
[14:18]
【 2009/05/28 】
ソニー「nav-u」の小さいカーナビ使ってみました<徒歩・自転車編>
[10:56]
【 2009/05/26 】
SNSはメールの10倍危険? 「心がけ」が大事とカスペルスキー氏
[11:24]
【 2009/05/21 】
被害が多発する「Gumblarウイルス」への対策を実施しよう
[19:20]
ソニー「nav-u」の小さいカーナビ使ってみました<基本機能編>
[11:00]
【 2009/05/15 】
Adobe Reader/Acrobatの脆弱性対策を考える
[15:27]
【 2009/05/14 】
5月のマイクロソフトセキュリティ更新を確認する
[12:58]
【 2009/04/16 】
4月のマイクロソフトセキュリティ更新を確認する
[15:57]

マイクロソフトにセキュリティ修正プログラムの今後を聞く(後編)


 前回の中編では、マイクロソフトのパッチ管理ツールSMSやSUSの機能紹介などを中心にまとめたが、後編である今回はパッチ管理を含めた「マイクロソフトが考えるセキュリティへの取り組み方」を紹介する。


パッチやツールはあくまでもセキュリティ対策の一部分でしかない

左からセキュリティレスポンスチームシニアサポートエンジニアの佐々吉弘氏、同マネージャの奥天陽司氏、IWインフラストラクチャ製品グループマネージャの寺田和人氏
 前回の話の中で、マイクロソフトのパッチ配信に対する方針や、パッチを管理するためのツールの機能紹介を行なった。SMSやSUSを導入することによって、数百台、数千台といった多くのクライアントPCのパッチマネージメントをしなければならない管理者の労力は格段に減少するだろう。

 吉川氏や寺田氏は「たしかに、数百人から数千人の社員が居る場合、“いつまで経ってもパッチを適用しない人”や“パスワードを設定しない人”、“勝手に再インストールしてしまう人”などが出てくるだろう。このようなユーザーに対しても有効に適用させるためには、ツールは有効だ」という。しかし、「パッチやSUS、SMSなどのツールはあくまでもセキュリティ対策の一部分でしかない。これらのツールを入れただけでは不十分であり、さまざまなレイヤーにおける全般的なセキュリティの底上げが重要だ」と説明した。


ツールを入れただけになっている例が余りにも多い

 つまり、ツールだけに頼り、セキュリティポリシーの策定をしていない場合などは、「SMSなどでパッチマネージメントを管理者が管理していれば、ウイルスや特定の攻撃に関しては一定以上の効果が得られるかもしれないが、ユーザーの意識が低いままでモニターにIDとパスワードを貼っているようではまったく問題外だ(吉川氏)」と指摘している。

 吉川氏はまた、「ツールを入れただけで安心し、管理が不十分となっているため、最悪の場合“ツールを入れなかった方が良い”というような状況も考えられる。いわゆる“入れただけ”になっている状態が一番悪い」と語った。

 このように、ツールだけに頼りセキュリティポリシーなど基本的な対策を行なっていない場合、トータルでのセキュリティや社員モラルの向上が見込めずに、結局レベルの高いセキュリティ施策を実施できないのだというのだ。


会社全体のセキュリティを統括するCIOやCSOが必要

 このような高いレベルのセキュリティ施策を実施できない要因の1つとして、吉川氏は「日本企業の管理者のあり方」を挙げた。現在企業内の管理者は、Web管理者やネットワーク管理者、インフラ管理者などさまざまな分野において専門の管理者が存在し、特に問題が発生した場合などを除いては横のつながりが薄い場合が多いという。

 同氏は、セキュリティへの取り組みの第一歩として全社的なセキュリティポリシーを策定するためには、管理者を一同に集めて「管理者委員会」を設置し、すべての管理者部門を統括する“会社全体を管理する管理者”が必要だという。この管理者には、CIO(Chief Infomation Officer)やCSO(Chief Security Officer)などの一定以上の権限を持つ経営者が担うべきだという。もしくは、万が一の事態などが発生した場合に、全権限を持ち得る部署を作りその部署が統括するなど、“全社を管理できる”ことが重要だとしている。

 このような、全社的なセキュリティを管理できる管理者によって、はじめてポリシーを全社的に浸透させることが可能となるほか、緊急時の意志決定も格段に迅速に行なうことができるという。

 吉川氏や奥天氏は、このような全体的なセキュリティ施策によるボトルアップによって、あらゆるレイヤーでセキュリティを向上させることが最も重要であるとし、反対にツールなどを用いたパッチ管理はセキュリティの一部分でしかないことを認識しつつ取り組むことが必要だと語っている。


まず、パッチを当てなくても良い方法を提供する

 ここまでで、現在のマイクロソフトのパッチに対する取り組みやセキュリティに対する考え方を紹介してきたが、ここからは同社の今後の取り組みについて伺った。

 吉川氏はまず、「パッチを当てなくても、一定以上のセキュリティを保証できるようにしたい」という。ファイアウォールやパーソナルファイアウォール、サービスの設定方法などを変更し、現在よりセキュアな状態を作り出すことにより、「脆弱性が存在していても、それに対して攻撃できない環境」を構築するというものだ。これは、Windows XP SP2が目指すところでもあるという。


今後1年間は、Windows XP SP2に注力していく

 このようにマイクロソフトでは、“パッチを当てなくても一定以上のセキュリティ環境を提供する”ことを目標の1つとして定めているため、吉川氏は「今後1年間はWindows XP SP2に注力し、より完成度の高いものを提供していきたい」とした。

 Windows XP SP2では、9月のBlaster対策CD-ROM配布時には実現できなかった「インターネット接続ファイアウォール(ICF)機能をデフォルトでオン」を必ず実現するという。そのために、現在さまざまな検証を繰り返し実施しており、「SP2を適用してICFをオンにしても、“オンラインゲームができなくなった”や“アプリケーションが動かなくなった”などが極力ないようにしたい(吉川氏)」とのこと。

 また、吉川氏は「Windows XP SP2をリリースした際には“とにかくSP2を当ててみてください”と胸を張って言えるような品質と効果を持ったものにするつもりだ」と自信を見せた。


バッファオーバーフローやバッファオーバーランがあってもパッチ不要に

 Windows XP SP2提供後には、バッファオーバーフローやバッファオーバーランなど「ある意味絶対になくなることはないであろう脆弱性(吉川氏)」がWindows上で発見されたとしても、「それらの脆弱性のうちの10分7は、パッチを当てなくても深刻な影響が出ないようにすること」を目標に挙げた。

 この状態を実現するためにはSP2などの技術的な側面のほか、パーソナルファイアウォールの認知向上や、設定を見直すことの必要性などさまざまな啓蒙活動も必要だとしている。


数年後には「セキュリティが強化されているからWindowsを選ぶ」を実現

 直近では、Windows XP SP2の提供が1番重要だということだが、さらに長い期間で見ると、次世代OS「longhorn」やモジュール単位での提供を可能にする新しいレベルでの「MS Update(仮称)」の提供、ハードウェアベンダーなどと協力して取り組んでいるチップベースのセキュリティ対策「Next-Generation Secure Computing Base(NGSCB)」などが予定されている。

 これらは、まだ開発段階であり限定された情報しか出てきていないが、これらの製品や取り組みはGates氏の「Trustworthy Computing」のコンセプト発表以後にリリースされるものであるため、基本設計や理念からWindows XPなどと異なってるという。このため、「かなり高レベルのセキュリティが提供できるだろう(吉川氏)」と説明している。

 最後に奥天氏は、「これらの計画を実現して、“セキュリティが強化されているからWindowsを選ぶ”という時代にしたい」という目標を示し、「その目標が実現できた時には、Trustworthy Computingが実現できたと言って良いのではないだろうか」と締めくくった。

 なお、先日発見されたパッチ未公開の脆弱性についてのマイクロソフト取り組み方などについては、別途同社担当者にお話を伺ったので、来週改めて紹介する予定だ。


関連情報

URL
  マイクロソフト
  http://www.microsoft.co.jp/
  関連記事:Gates氏の提唱によってマイクロソフトは果たしてセキュアになったのか?
  http://internet.watch.impress.co.jp/www/article/2003/0331/microsoft.htm

マイクロソフトにセキュリティ修正プログラムの今後を聞く(中編)(2003/12/17)
マイクロソフトにセキュリティ修正プログラムの今後を聞く(前編)(2003/12/15)
マイクロソフト奥天氏講演
「1度発見した脆弱性は2度と発生しないため、発見数は先細りしていく」(2003/11/12)



( 大津 心 )
2003/12/18 11:29

- ページの先頭へ-

Internet Watch ホームページ
Copyright (c) 2003 Impress Corporation All rights reserved.