主要なニュースサイトを見ていると、「新しいセキュリティホールが発見された」と報じられる場合、その大半はマイクロソフト製品に関するものだ。2003年に入ってからだけでも、Internet Explorerの累積的なパッチ(MS03-004)やWindows Meの脆弱性(MS03-006)などが指摘されている。
マイクロソフトはしばしば、「バグだらけの製品を出している」「利便性、使い勝手、リリース時期などを優先するあまり、セキュリティを軽視している」「情報が分かりにくい」などと非難されており、その多くには同意できる。だが今回はあえて、相対的な観点から「マイクロソフトほど真剣にセキュリティに取り組んでいる企業はない」と弁護に回ってみたいと思う。
断っておきたいが、現在のマイクロソフトのセキュリティ問題に対する姿勢は、絶対的なレベルでは、まだまだ不十分なものだと私は思う。問題が指摘されてから対策するまではもっと迅速であっていいと思うし、だからといって、不用意にテスト版を公開してしまうといったミスは防がれてしかるべきだ。また、パッチを適用した際の副作用についての検証・情報公開はもっと密であるべきだし、提供されるセキュリティ情報が日本語化されているのはいいが、「マイクロソフト語」ではなく、だれにでも理解できるように書くべきだ……などなど、改善すべき事柄を挙げていけば、切りがない。そのシェアや影響度、利用しているユーザー層を考えれば、このくらいは当然だ。
しかしそれでも、ほかのベンダに比べればずいぶんよくやっているし、真剣に情報提供に取り組んでいる、と見ることもできる。
例えばマイクロソフトでは、微妙に信頼できない挙動があったりはするが、Windows Updateという形で、必要最低限のパッチを自動的に配信・適用する仕組みを提供している。登録制にせよ、新しいパッチが公開されたときに、問題点とともにそれを知らせるメールを配信しているし、セキュリティ情報のみを集めたWebページも開設済みだ。
翻って、ほかのベンダはどうか。例えば、OS提供ベンダということでは同様のアップルコンピュータでは、「Software Update」という形で、脆弱性の修正やアップデートを自動的に適用してくれる。ただ、セキュリティ情報についてまとめ、明示的に通知してくれる仕組みは、少なくとも私が経験した限りはないようだ(もしあればぜひ教えていただきたい)。また、Software Updateによって、既存の設定が書き換えられてトラブルにつながるというケースも、ネット上で報告されているようである。また、同社のWebのサポート情報は比較的分かりやすくまとまっているのだが、セキュリティ関連情報は独立していないようだ。独立させるほど、セキュリティホールは多くないのだ、と見なすこともできようが、これだけセキュリティに対する意識が高まっている昨今だけに、会社の姿勢としては若干疑問が残る。
エンタープライズ向け製品の対応は?
エンタープライズ向けの製品となると、実際に私自身がサポート契約を結んでいるわけではないので未知の部分が多い(もし実情をお知らせいただける方がいれば、ぜひご連絡いただきたい)。だがBugtraqなどへの投稿を見る限り、Solaris、HP-UX、あるいはAIXといったUNIXベースのOSにしても、Oracle DBをはじめとするデータベースシステムやWebアプリケーションにしても、まずまずの頻度でセキュリティホールが発見されている。ハードウェアにしてもそうだ。例えばルータやNASアプライアンスにだってセキュリティホールはある。
これらに対する詳細情報や修正パッチの提供は、果たしてどの程度迅速になされているのだろう? 日本語で、分かりやすい形で情報を把握できるようになっているのだろうか? 小まめに情報をアップデートし、顧客を支援している好例としては、ヤマハの「RTシリーズ」のサイトを挙げたいが、同レベルの対応を行っている企業は果たしてどれほどあるのだろう?
日本の場合、販売代理店の対応も絡んでくるから、さらに複雑になる。
セキュリティ情報サイトやメーリングリストを通じて独自に、あるいはセキュリティ情報に特化したサービス企業などと契約して、各種のセキュリティホール情報を手に入れている顧客企業も多々あると思われる。これに対し、製品を納入した代理店側の対応がついていかなかったり、あるいは、問い合わせに対して間違った情報を提供してしまったり、などというケースもあるのではないだろうか。つまり、代理店側のセキュリティ意識や情報収集が、顧客に追いついていない、ということだ。
話はずれるが、自社が外部の企業と、システムインテグレーション契約やシステム開発契約を結んだとしよう。そこに組み入れられたOSやアプリケーション、コンポーネントにセキュリティホールが見つかった場合、修正作業はいったいどこが行ってくれるのか、またその費用はどこが負担すべきかについても、事前にきちんと取り決めておく必要がありそうだ。
もう1つ考慮しておくべきケースがある。オープンソースのソフトウェアを利用している場合だ。これはもう、そのソフトウェア次第なのだか、問題の指摘後迅速にパッチがリリースされる場合もあれば、なかなか適切な情報が示されず、やきもきする場合もある。著名なソフトウェアについては、割と頻繁に問題が指摘されるものの、対応もスムーズな場合が多い。ただ中には、Internet Software Consortium(ISC:BINDなどの開発元)のように、パッチの公開を見合わせ、一方で有料サポートサービスへの登録を勧誘しようとしたと指摘されているケースもある。一概に「オープンソースだから安全だ」などとはいえないのだ。基本的には、その配布元をウオッチしていればいいことなのだが、多少の不便さはぬぐえない。
さて、こうして見てみると、マイクロソフトの場合、そのリスクの大きさからいえば不十分ながら、他ベンダに比べれば比較的ましな対応をしているという見方も、あながち間違ったものではないといえるのではないだろうか。
そのマイクロソフトが、プレス向けに行っているセキュリティ情報に関する説明会の中で、こんなことを述べていた。「数年前から、現状のセキュリティ状態では、品質を重視する日本の顧客には受け入れられないということを米国本社に上げていた」。そしてその際には、日本の顧客から寄せられた声やリクエストが、大きな役割を果たしたのだという。実際にはCodeRedやNimdaの発生を受けて、同社いうところの「Trustworthy Computing」が推進されることになったわけだが、その背後では顧客からの声が大きな役割を果たしていたに違いない。
となると、ほかのベンダについても同様に、セキュリティ問題への迅速な対応や情報提供を求める声を上げていくべきではないだろうか。結局のところベンダを動かすのは、市場のニーズであり、顧客のリクエストにほかならないのだ。
Profile
須藤 陸(すどう りく)フリーライター
1966年生まれ、福島県出身。社会学専攻だったはずが、 ふとしたはずみでPC系雑誌の編集に携わり、その後セキュリティ関連記事を担当、IT関連の取材に携わる。現在、雑誌、書籍などの執筆を行っている。
- 今夜こそわかる安全なSQLの呼び出し方 〜 高木浩光氏に聞いてみた
- 「わざと脆弱性を持たせたWebアプリ」で練習を
- Perl Mongersはセキュリティの夢を見るか?
- 誰がシステムのセキュリティを“大丈夫”にするのか
- 技術は言葉の壁を越える! Black Hat Japan 2008&AVTokyo2008(後編)
- 技術は言葉の壁を越える! Black Hat Japan 2008&AVTokyo2008(前編)
- キャンプに集まれ! そして散開!
- 売り上げ重視か、それともセキュリティ重視か!? 「安全なウェブサイト運営入門」
- CeCOS IIにみるネット犯罪のもう一方の側面
- セキュリティ対策の行き着くところは……最終手段? 京都に究極のセキュリティ対策を見た
- 人はオレを情報の破壊神と呼ぶ せめて、ハードディスクの最期はこの手で……
- セキュリティ社会科見学:インターネット物理モデルでセキュリティを考えた
- セキュリティ自由研究:この夏、グミ指を作ってみないか
- Webアプリケーションを作る前に知るべき10の脆弱性
- セキュリティを教える人に知ってほしい 基本が詰まった1冊
- セキュリティのバランス感覚を養うための1冊
- 暗号化仮想ドライブで手軽にファイルを暗号化
- Windows管理者必携、Sysinternalsでシステムを把握する
- 今夜分かるSQLインジェクション対策
- 「取りあえず管理者アカウントで」という思考停止はもうやめよう
- CSSクロスドメインの情報漏えいの脆弱性「CSSXSS」とは
- 偽装メールを見破れ!(後編)
- 偽装メールを見破れ!(前編)
- メールは信頼できても信用できない
- 危機管理体制を整えよう! 個人情報漏えい後の対応ガイドライン
- メールアドレスを漏えいから守る方法
- 「Whoppix」を使ってペネトレーションテストをやろう
- 「ぼくはまちちゃん」 ――知られざるCSRF攻撃
- 25番ポートの攻防
- 平田です。届いてますか?
- 魔法の鍵と最後の鍵
- 個人情報保護法を論理的に読み解く
- 安全確保のために東京は明るく! 大阪は暗く!
- 言論の自由とセキュリティコミュニティ
- 標的にされる無防備なコンピュータ
- セキュリティ担当者には想像力が必要
- 端末を持ち歩くことの危険を意識せよ! 〜 「ノートPC=自動車」論 〜
- 脆弱性のあるサイトとセキュリティ技術者の関係
- いまこそ一般教養としてセキュリティを!
- 大事なことは製品でもなく知識でもなく……
- 治安の悪化で改めて痛感したこと
- Blasterがもたらした多くの“メリット”
- 企業でのセキュリティ資格の意味合いは?
- 人はミスをするものと思え、故に事前対策が重要
- オレオレ詐欺に学ぶソーシャル対策
- あらゆる人にセキュリティ教育を
- 猛威を振るうSARSウイルスに思ったこと
- 痛い目に遭って考えた、ビジネス継続性の重要さ
- 責められるべきはMSだけだろうか?
- セキュリティ技術者を「憧れの職業」にするには?
Copyright © ITmedia, Inc. All Rights Reserved.