■URL
http://www.microsoft.com/japan/presspass/releases/072902lac.asp
http://www.lac.co.jp/
マイクロソフト株式会社は29日、4月に行なわれた同社のセキュリティーに関する取り組みのその後の状況などについての説明会を行なった。
今回の説明会では、株式会社ラックとの提携によるセキュリティー対策の強化や、マイクロソフトのセキュリティー対策の現状や今後の取り組みについて報告が行なわれた。
ラックとの提携は、主に企業を対象としたセキュリティー対策技術を用いて、“信頼できるコンピューティングシステム”を構築することを目的に締結されたもの。ラックは、ネットワークセキュリティーの研究やシステムインテグレーションなどを提供している会社で、セキュリティーの研究のために「コンピュータセキュリティ研究所(CSL)」を設置している。CSLでは、以前よりWindowsなどの脆弱性に関する研究や情報収集・実証実験を行なっており、この情報をマイクロソフトへ提供したり、ユーザーへのセキュリティー対策サービスに役立てていた。しかし、提携前は、脆弱性を発見した際の報告窓口が、米Microsoftの開発室のみとなっていたため、すれ違いや対応の遅れが発生していたという。提携によって、日本のマイクロソフトと直接連絡を取れるようになったためにこの点が改善され、より迅速な脆弱性対策が行なえるようになった。
マイクロソフト株式会社 Windowsサーバー製品部 シニアプロダクトマネージャ 古川 勝也氏 |
株式会社ラック 取締役 西本 逸郎氏 |
マイクロソフト
アジア リミテッド プロフェッショナルサポート本部 セキュリティレスポンスチーム 奥天 陽司氏 |
今回の提携によって、「セキュリティー情報の提供」や、「セキュリティーソリューションの提供」、「セキュリティーセミナーの開催」などが実現するという。「セキュリティー情報の提供」では、CSLが独自の研究によって発見した脆弱性や、他で発見された脆弱性に関する実証実験の検証を行ない、マイクロソフト製品のセキュリティー向上へ貢献する。また、ラックはマイクロソフトより技術支援を受け、独自のセキュリティーソリューションの提供を行なっていく。また、啓蒙活動の一環として、両社の共催で経営者や管理者向けのセミナーを9月より無償で開催する予定もあるとのこと。説明を行なったラック取締役の西本 逸郎氏は「今まで企業は、インターネットのセキュリティーを中心に対策を行なってきたが、CodeRedやNimdaの出現により認識しなければならなくなったのは、インターネットよりイントラネットのセキュリティーだ。もし、イントラネットがウィルスなどの被害にあって情報漏洩した場合を考えると、重要性が分かってもらえるだろう。また、啓蒙活動としてはシステム管理者向けよりも、経営者向けに力を入れなければならないと考えている。これは、システム管理者がいかにセキュリティーに関する稟議書を提出しても、経営者が分かっていなければ、何の意味も無いからだ。従って、セミナーでは、従来の管理者向けに加えて経営者向けのものも行なう」と語った。
次にマイクロソフトの現在の取り組みに関しては、前回4月に行なわれた発表会から約3ヶ月間の成果や、マイクロソフトのセキュリティー問題への対応プロセス、セキュリティー修正プログラムの種類などについて説明された。
4月から7月にかけての成果では、6月に行なわれた「Microsoft Software Update Services(SUS)」日本語版のリリースや、各種セキュリティーパッチが挙げれられた。SUSは、企業内にWindows Update専用サーバーを構築することによって、クライアントマシーンのセキュリティーパッチを管理できるようになり、インターネットトラフィックの削減と管理の面において効果が見られるというものだ。6月25日の提供開始以来、確実にユーザーが増えており、サーバープログラムが6,120以上、クライアントは9,260以上ダウンロードされているという。また、最近、各セキュリティー問題が以前より多く発表されている点について、マイクロソフトセキュリティレスポンスチームマネージャの奥天 陽司氏は「まず、ユーザーの関心度が高まったといえる。以前は、セキュリティーに関するユーザーからの報告数は、年間4,000件程度だったが、現在では1ヶ月に数百件と格段に増加している。また、開発部門がこの問題を最優先で対応しており、その結果として、セキュリティー問題や修正パッチの発表に繋がっている。現在は、この問題に関して過渡期となっており、一段落して安全性が確保できてくればこの数も落ち着いてくるだろう」と語っている。
現在の同社のセキュリティー問題に関する修正プロセスは、ユーザーや各ベンダーから寄せられた情報は全て「Microsoft Security Response Center(MSRC)」に集められ、その後製品開発部などで検証や修正が行なわれるという流れだ。開発部からMSRCに戻されたものは、その後「PSS Security Response Team」に転送され、再度検証が行なわれた後に、MSRCから提供されるという。修正パッチの発表が遅れる場合がままあるが、これは開発部やPSSが行なう検証や修正、テストが困難で時間を有するのが原因となる。
セキュリティー修正プログラムの種類についての説明では、緊急度などに比例して4種類のプログラム「セキュリティ修正プログラム」、「累積的セキュリティ修正プログラム」、「Security Rollup Package(SRP)」、「Service Pack(SP)」があるという。
「セキュリティ修正プログラム」は、緊急且つ重要・深刻なセキュリティー問題に対して迅速に個別プログラムとして提供されるもので、提供時間の速さが最優先されるもの。「累積的セキュリティ修正プログラム」は、重要なセキュリティー問題を含む累積的なもので、深刻度「中」のものまでが含まれる。SRPは、累積的なプログラムに深刻度「低」のものを追加したものだ。SPは、修正プログラム以外にも製品を最新に保つためのプログラムを加えて提供される。また、SPの場合はテストやチェックを優先して作成しているとのことだ。奥天氏によると「ユーザーには、まずSPとSRPを絶対に導入してもらいたい。その後でWindows Update、個別の修正プログラムと導入していって頂きたい。しかし、もっとも重要なことは、セキュリティー対策の最も整った最新のOSを導入することだ。現在当社では、『Windows95や98への対応をいつまで続けるか』という問題について検討を行なっている段階だが、まだ決定はしていない。しかし、いずれこれらのソフトの対応はできなくなるだろう。我々が把握しているだけでも、Windows95や98をまだ利用しているユーザーは3~5%以上いる。これらのユーザーには、セキュリティー面においてもWindows XPなどへの移行を薦めたい」とのこと。
最後に、マイクロソフトの今後のセキュリティーに対する取り組みに関する説明が行なわれた。今後の取り組みとして最も力を入れるのは、昨年10月に提唱された「Strategic Technology Protection Program(以下、STPP)」の更なる推進で、ウィルス対策ベンダーやハードウェアベンダーなどに加え、今後はセキュリティー専業ベンダーやSIなども参画していき、定期的な啓蒙活動を行なう予定だ。また、情報発信や脆弱性への対応を更に効率化し、Bill Gates会長が提唱する「Trustworthy Computing」を実現していくという。
マイクロソフトシニアプロダクトマネージャの古川 勝也氏は「信頼できるコンピューティング実現のために、米Microsoftでは開発部門の技術者8,500人に1ヶ月に渡るセキュリティー関連講義を行なった。これに費やされた費用は、およそ1億ドルにもなる。このような莫大な投資を行なってでも、マイクロソフトは信頼できるコンピューティングを実現するつもりという決意の表れだ。日本においても、この姿勢を受け入れ、今回のラックとの提携にも繋がった。今後も、当社はセキュリティーを最優先事項として対応を行なっていく」との姿勢を表明した。
マイクロソフトが発表した 「セキュリティー問題の修正プロセス」 |
「マイクロソフト社内の修正プロセス」 | それぞれの修正プロセスの位置付け |
セキュリティー対策の推奨手順 | マイクロソフトがデモを行なった 「CodeRedなどが利用した脆弱性を用いたサイト改ざん」の様子 |
プレビューだけで感染するウィルスに感染した瞬間。 ダウンロードが始まりマシンがハングした |
◎関連記事
■マイクロソフト、LAN上でパッチをダウンロードできるソフトを提供開始
■マイクロソフト、セキュリティーについての取り組みを発表
(2002/7/29)
[Reported by otsu-j@impress.co.jp]