求む、エンドユーザーにパッチ適用を徹底させる方法：Security&Trust ウォッチ（6）

　昨年のこの時期大きな被害を与えたNimdaやCode Red、そして今年話題のKlezやBugbearといった「著名」ウイルスには、ある共通点がある。Internet Explorerに存在するセキュリティホールを悪用して感染を広げていることだ。

　とはいうものの、これらウイルスの原因となっているセキュリティホールは、決して最新のものではない。1年以上前にその存在が公表され、パッチもとっくに提供済みである。

　にもかかわらず、海外でも国内でも、これら既知のセキュリティホールを悪用したウイルス被害はなくならない。IPAセキュリティセンター（http://www.meti.go.jp/kohosys/press/0003221/）によると、今年9月のウイルス届け出件数は1193件。やや小康状態といえるだろうが、油断はできない状態だ。それも、Klezなど、セキュリティパッチの適用を行っていれば防げるはずのウイルスが占める比率がいまだに大きい。

　ここから導き出される結論は何か。大半のユーザーはOSやアプリケーションのパッチ適用などという面倒な作業は好まないということだ。

そもそもパッチ適用は楽しい作業？

　その気持ちは理解できる。そもそも、日々セキュリティ情報をチェックし、必要とあらば速やかにパッチをダウンロードして適用する、などという作業を好き好んでやる人間がどれほどいるだろうか？ 少なくとも私の周りにはいない（と思う）。

　なおお断りしておくが、ここで論じているのはあくまでエンドユーザー側の意識であって、管理者の態度についてではない。仮にもサーバもしくはネットワーク管理者たるもの、パッチの適用作業が面倒だとか、嫌いだなどとはいっていられないからだ。あえて厳しいいい方をするが、それが面倒だというならば、速やかに管理者の看板を下ろすか、サーバ運用をやめるべきだろう。

　それはさておき、ほとんどのエンドユーザーにとって、パッチのダウンロードや更新は面倒だし、決して進んでやりたい作業ではないけれど仕方がない、という程度のものだと思われる。「しょうがないなぁ、何でこんなことをしなければならないの」というのが本音ではないだろうか。

　そのうえ、おそらく大半のユーザーは、セキュリティホールをそのままにしていることのリスクをはっきりと認識できていない。それ以上に問題なのが、セキュリティアップデートを行わず、潜在的なリスクを抱えているにもかかわらず、取りあえず日常の作業は支障なくできてしまっていることだ。明らかな被害がない以上、わざわざパッチなど適用せずともよかろう、というわけである。いったいどうやって彼らを説得すればいいのだろうか？

　常時接続が普及した昨今では、もう1つややこしい事情が加わりつつある。自宅とオフィスで同じノートパソコンを用いるようなケースだ。自宅の接続環境でトロイの木馬やウイルスなどを仕込まれてしまったのに気付かず、マシンをそのまま持ち込み、オフィスのネットワークに被害を与えてしまった、といった事件を1度くらいは聞いたことがあるだろう。こうした事態を未然に防ぐためにも、適切なソフトウェアの配布とアップデートは不可欠だ。だがどうしたらそれを徹底できるのだろうか。

ユーザーではなく、仕組みを変えよう

　これまで多くのベンダやセキュリティ研究機関、コミュニティ、雑誌が、事あるごとに「すみやかなパッチ適用を！」とユーザーに呼び掛けてきた。その効果は少しずつ上がっているが、それも以前に比べればのこと。まだ隅々にまで浸透しているとはいえない。ユーザーの意識を変えるのは困難な作業なのだ。

　ここで逆転の発想として思いつくのは、人を変えるのではなく、仕組みの方を変えて、ユーザーに面倒な作業をさせないようにすることだ。

　そのためには、ソフトウェアベンダが、パッチなど必要ない、完全なセキュリティが実現されたOSやアプリケーションを提供することができればよい。だがこれは、どう考えても非現実的である。仮に、完全に安全なアプリケーションができたとしよう。それは今日は安全かもしれないが、明日はどうなるか分からない。コンピュータの環境が多様化している現在では、出荷前に考え得るすべての組み合わせにおいてセキュリティを検証する、などということは不可能だ。

　結局のところ、（偉そうないい方で恐縮だが）ユーザーに対する教育や啓もうを継続するとともに、何らかの「強制力」と、ユーザーが意識しなくとも必要なパッチが適用される「自動化」を組み合わせるしかなさそうだ。

　強制力とは、簡単な例を挙げると、ユーザーがパッチの適用などの作業を怠った場合には何らかの罰則を科すようなやり方だ。セキュリティポリシーを定める企業の中には、その中にこうした罰則などを含め、同時にパッチ適用に関する教育を行うケースもあるようだ。米国のある企業では、従業員規則の中にパッチやウイルス定義ファイルの取り扱いまでを明示し、それに署名しない限り正式に雇用されないという。

　技術的には、例えばゲートウェイ部分でアプリケーションやWebブラウザなどのバージョンを検出し、もし古いようであれば、それをアップデートしない限り外部ネットワークにはアクセスさせないといった仕組みが考えられるだろう。事実、先日リリースされたシマンテックの製品には、そうした機能が搭載されている。

　一方の自動化とは、更新にまつわる作業を簡素化し、ユーザーがそれと意識しなくてもアップデートされるような仕組みである。これは機械的にやってもいいし、第三者のサービスを活用してもいい。

　例えばWindows XPのWindows Update機能では、ユーザーの環境に応じて、どのソフトウェアが必要なのか、どのパッチを適用すべきかを自動的に示し、数回のクリックで適用が完了するようになっている。これまでのマイクロソフトのセキュリティに対する姿勢には言いたいことがいろいろとあったが、この機能は評価されてしかるべきだ。

　またNTT東日本とトレンドマイクロが9月末に発表した「フレッツ・セーフティ」は、月額300円という比較的受け入れやすい料金で、ユーザーには面倒な作業をさせず、ウイルス対策や不正アクセス対策を行うというサービスである。この手のセキュリティサービスは、今後、さらに豊富になっていくのではないだろうか。

　あと数年もたてば、第3の道とでもいうべき、新しい解決策が現実のものになるかもしれない。IBMなどが進めている「自律的コンピューティング」（オートノミック・コンピューティング）がそれだ。

　IBMの説明によるとこれは、「暑い」「寒い」といった環境の変化に応じて、人間がそれと意識せずとも心拍数や発汗機能を調節し、自分にとって最適な状態を作り出すのと同じことを、コンピュータシステムで実現するものだ。何らかの問題が発生しそうなとき、何らかの攻撃を検知したときには、コンピュータシステムがそれを察知し、自ら修復・対処するという。

　これが額面どおりに実現できれば、いうことなしの技術なのだが、実用化にはもう少し時間がかかりそうだ。となるとしばらくは、強制力と自動化の組み合わせでしのぐしかなさそうだ……皆さんはどんな知恵と工夫を凝らしているだろうか？