[Analysis]
自動アップデートは安全か
2005/04/26
トレンドマイクロのウイルスバスター用ウイルスパターンファイルが引き起こした問題(既報1、既報2)は、ソフトウェア業界に大きな議論を巻き起こすと考えられる。それはセキュリティパッチやプログラム修正ファイルの自動アップデート機能を今後も提供し続けていいのかという議論だ。
今回の問題は、不具合があるウイルスパターンファイルをウイルスバスターの自動アップデート機能を使ってダウンロードしたことで引き起こされた。トレンドマイクロによると、「ウイルスバスター 2005/2004 インターネットセキュリティ」の場合、標準では起動後5分と3時間に1度、サーバにアクセスして新しいパターンファイルがないかをチェックする。
また、「ウイルスバスター コーポレートエディション」は、サーバが1日1度アクセスしてパターンファイルの更新を確認している。トレンドマイクロが問題を引き起こすパターンファイルを公開していた時間は1時間半程度だが、約17万のユーザーが自動、または手動でファイルをダウンロードしていた。
パッチの自動アップデート機能は多くのソフトウェアに導入されている。ユーザーにアップデート情報を告知するだけでは必要なアップデートが行なわれず、ワームなどの被害が発生することがある。そのためユーザーの判断に任せずにファイルを自動でダウンロードさせて半強制的にアップデートすることが、セキュリティに対して有効と考えられたからだ。
しかし、今回のトレンドマイクロの問題でその自動アップデート機能に対する信頼が揺らぐ可能性がある。ユーザーの利便性を考えて導入された自動アップデートだが、今回のように自動アップデートさせるパッチに不具合があると、“自動的に”システムがクラッシュするという皮肉なことになってしまう。
基幹系アプリケーションのパッチ適用やバージョンアップなら、適用前にシステム管理者などが問題がおきないか慎重にテストする。しかし、ウイルス対策ソフトウェアやOSの通常のパッチでは、ユーザー側がテストを行うことはまれだ。ウイルスバスターの場合は基本的に毎日パターンファイルがリリースされている。その1つ1つをユーザーがテストするのは不可能。パッチによる大規模なシステム被害を避けるには、ベンダ側がより厳密なテストを行うのは当然だが、ベンダとユーザーの間でパッチをいったん引き受けて迅速、確実に検証するような緩衝地帯的な機能が求められるのではないだろうか。
関連リンク
情報をお寄せください:
最新記事
 |
|
|
|
|
