★阿修羅♪ 現在地 HOME > 掲示板 > IT2 > 106.html
 ★阿修羅♪
次へ 前へ
Protect Your PCキャンペーンが示したパッチ配布体制の前進と限界 【ZD Net記事】
http://www.asyura.com/0310/it02/msg/106.html
投稿者 クエスチョン 日時 2003 年 9 月 21 日 09:05:55:WmYnAkBebEg4M

(回答先: 今後も見つかる可能性が高い“超特大”セキュリティ・ホール,回避策の実施が不可欠 パッチが公開される前の“ゼロ・デイ・アタック”に備えよ【IT Pro記事】 投稿者 クエスチョン 日時 2003 年 9 月 21 日 08:47:53)

以下の記事で気がついたのは次の2点。

> マイクロソフトが9月17日以降展開する一連の取り組みは、上記の反省
>を踏まえてのものだ。複数のメディアを通じてユーザーに3つのセキュリ
>ティ対策を呼びかけるほか、Windows XPのユーザー向けに、パッチなどを
>収録したCD-ROMを配布する。このCD-ROMには、Windows XP SP1aおよび
>SP1aリリース以降のセキュリティ修正プログラム(MS03-039まで)が収録
>されるほか、Windows Updateの自動更新機能を「有効」へと強制的に変更
>する機能が含まれている。

「Windows Updateの自動更新機能を「有効」へと強制的に変更する機能が
含まれている。」については疑問を持っている。自動更新を有効にするに
は、その前提として例のセキュリティ上非常に問題がある「Active
X」が有効になっている必要があるからだ。パッチは適用されるかもしれ
ないが、今度は「ActiveX」を悪用した攻撃にさらされかねない。
これに関しては小生自身経験し、非常に重要と思われるの事があるので別
スレッドで書き直します。

> 2つめの課題は、パッチそのものの精度の向上をどう進めるかだ。これ
>までにも、公開されたパッチを適用した副作用で、既存のアプリケーショ
>ンの動作に不具合が生じたというケースは報告されている。これには、PC
>にプリインストールされているものを含め、Windows上で動作するさまざ
>まなアプリケーションを提供するサードパーティとの連携と、それに基づ
>く情報公開(無論、分かりやすいもの)が不可欠だろう。

「公開されたパッチを適用した副作用で、既存のアプリケーションの動作
に不具合が生じたというケースは報告されている。」、これは小生自信、
パッチ適用後にUSBエラー頻出で実際に経験している。

エンタープライズ:ニュース 2003/09/17 05:22:00 更新


Protect Your PCキャンペーンが示したパッチ配布体制の前進と限界 【ZD Net記事】
http://www.zdnet.co.jp/enterprise/0309/17/epn02.html

マイクロソフトは、ユーザーにセキュリティ対策の実施を呼びかける
「Protect Your PC」キャンペーンを展開する。これまでのセキュリティ
啓蒙策からすれば大きな前進だが、まだ検討すべき点も多い。


 マイクロソフトは9月16日、ユーザー、特に家庭でPCを利用しているコ
ンシューマーに対しWindows Updateとファイアウォール機能、ウイルス対
策ソフトウェアの利用を呼びかけるキャンペーンを展開することを明らか
にした(別記事参照)。

 この8月、MSBlastワームが猛威を振るったことは記憶に新しい。このワ
ームがはびこる原因となったのは、7月中旬に公になったセキュリティホ
ール(MS03-026)であり、パッチは提供済みだった。にもかかわらず、ワ
ームが発生した8月中旬になって初めて、パッチやWindows Updateの存在
を認識したユーザーが多かったのが現実だろう。たとえWindows Updateを
知っていても、その重要性や使い方が分からなかったり、あるいはナロー
バンド環境ゆえに時間がかかりすぎたという声もままあったという。

 マイクロソフトが9月17日以降展開する一連の取り組みは、上記の反省
を踏まえてのものだ。複数のメディアを通じてユーザーに3つのセキュリ
ティ対策を呼びかけるほか、Windows XPのユーザー向けに、パッチなどを
収録したCD-ROMを配布する。このCD-ROMには、Windows XP SP1aおよび
SP1aリリース以降のセキュリティ修正プログラム(MS03-039まで)が収録
されるほか、Windows Updateの自動更新機能を「有効」へと強制的に変更
する機能が含まれている。

 これらの活動からなるキャンペーンは、普段あまりPCを利用しないユー
ザーにパッチ適用の重要性を呼びかけ、インターネットへの接続が困難、
あるいはナローバンドを利用しているユーザーにパッチ適用の手段を提供
するという意味で前進であり、その点は評価したい。しかし残念ながら、
まだマイクロソフトが検討し、取り組むべき課題も多く残されているとい
わざるを得ない。

CD-ROMの配布対象は? その1つが、対象プラットフォームだ。このキャ
ンペーンで配布されるCD-ROMはあくまでWindows XPが対象であり、サポー
ト期間中であるにも関わらずWindows 2000などの場合は、WPCや店頭で対
処法を記した「キャンペーンチラシ」を配布し、告知するにとどまってい
る。

 同社によるとこれは、「インストールベースが最も多いのはWindows XP
であり、プライオリティが高い」(Windows Server製品部、高沢秀樹氏)
ゆえの措置だ。他のプラットフォームについては、検討はするものの今の
ところCD-ROM配布の予定はないという。確かに限られた時間とリソースの
中では、優先順位を付けて対処することは重要だ。だが被害の根絶を目指
すならば、同じセキュリティホールが存在する以上、Windows XP以外のOS
にも同様の救済措置を提供してもいいのではないだろうか。

 また今回の説明会では特に触れられなかったが、MS03-026のセキュリテ
ィホールはPCとして利用されている端末だけでなく、プリンタサーバなど
の組み込み機器にも存在している。また、今年初めにまん延したSlammer
は、SQL Server 2000およびMicrosoft SQL Desktop Edition(MSDE)に存
在したセキュリティホールを悪用したワームだが、特にMSDEについては、
会計ソフトなど広範なアプリケーションに含まれており、ユーザーがそれ
と知らずにインストールしていたケースがあった。

 こうした事実を踏まえれば、今後、ユーザーからみればブラックボック
ス化したセットトップボックスやインターネット家電で、同様の事態が起
こらないとも限らない。ユーザーが認識することなく、脆弱性のあるOSを
利用し続けてしまうという可能性も十分考えられる。その時にいったい、
どのような体制でユーザーに情報を告知し、速やかに対処を行うのか。マ
イクロソフトとパートナー企業、それにユーザーの3者それぞれにとって、
100%満足とまではいかないまでも、明確かつ納得の行くような枠組みが
形作られるよう願ってやまない。

 2つめの課題は、パッチそのものの精度の向上をどう進めるかだ。これ
までにも、公開されたパッチを適用した副作用で、既存のアプリケーショ
ンの動作に不具合が生じたというケースは報告されている。これには、PC
にプリインストールされているものを含め、Windows上で動作するさまざ
まなアプリケーションを提供するサードパーティとの連携と、それに基づ
く情報公開(無論、分かりやすいもの)が不可欠だろう。

 またWindows Updateにも、ユーザーインタフェースの面で改良が必要だ
という指摘がある(別記事参照)。MSBlastをめぐる一連のどたばたの中
には、パッチを適用したはずだがそれを確認する術を知らず混乱したとい
う声もあった。残念ながら今のところ、「パッチがきちんと適用されたか
どうかを簡単に確認する術はない」(同社)という。

 Windows Updateの役割についても、改めて検討が必要かもしれない。こ
れまでのマイクロソフトの動きを見ると、常に最新の状態のものを提供す
るという意図もあって、パッチおよびService Packの配布の主たる経路は
あくまでWindows Updateであり、CD-ROMは補助的・緊急避難的な手段と位
置付けられているようだ。

 今回配布されるWindows XP用セキュリティ対策CD-ROMにしても、枚数に
限りはないにせよ、配布期間は10月末まで。「(このCD-ROMによって)ナ
ローバンド環境のユーザーでも、まず現時点までの修正パッチを適用し、
Windows Updateの自動更新機能をオンにできる。あとはWindows Updateを
継続して利用してほしい。差分のみをダウンロードすればよくなるため、
負荷はそれほどかからなくなる」(同社Windows Server製品部、吉川顕太
郎氏)。なるほど、これはこれで1つのアプローチだ。しかしユーザーの
利便性を考えれば、マイクロソフトが予定していないCD-ROMでの定期的な
パッチの配布(とWindows Updateとの併用)いう手法にも検討の余地はあ
るのではないだろうか。

中長期的には限界も マイクロソフトでは中長期的に、「問題が発覚する
つどパッチを提供するという現在のやり方では、いずれ限界がくる」とい
う認識も持っているといい、パッチ配布の手法も含め、抜本的な改善に踏
み切る可能性を示唆している。ただ、その具体的な姿となるとまったくの
未定だ。これまでの報道を踏まえて可能性を挙げてみれば、GeCAD
Softwareの買収によって得たウイルス対策/防御技術の組み込みも考えら
れるし、別のアプローチとして、いわゆる「オートノミック(自律的)コ
ンピューティング」による自己回復機能もありうるだろう。

 いずれにしても、パッチの配布1つとっても、まだまだ検討すべき事柄
は残されている。ただ、マイクロソフト側の対応も、Code Red/Nimdaや
Slammer、そして今回のMSBlastを経て前進しているのも事実だ。「今回の
取り組みは、あくまで『Protect Your PCキャンペーン』のフェーズ1に過
ぎない。今後も幅広いパートナーと強調しながら業界挙げて取り組むほか、
政府との対話を継続していく」(マイケル・ローディング社長)。以降の
進展に期待したい。

関連記事
MS、最優先は「シールド技術」
Windows Update利用促進に向けたマイクロソフトの一手
Windowsを危険にさらすRPCのセキュリティホール

関連リンク
Protect Your PC
マイクロソフト

[高橋睦美,ZDNet/JAPAN]

 次へ  前へ

IT2掲示板へ

フォローアップ:
  拍手はせず、拍手一覧を見る

★登録無しでコメント可能。今すぐ反映 通常 |動画・ツイッター等 |htmltag可(熟練者向)
タグCheck |タグに'だけを使っている場合のcheck |checkしない)(各説明

←ペンネーム新規登録ならチェック)
↓ペンネーム(2023/11/26から必須)

↓パスワード(ペンネームに必須)

(ペンネームとパスワードは初回使用で記録、次回以降にチェック。パスワードはメモすべし。)
↓画像認証
( 上画像文字を入力)
ルール確認&失敗対策
画像の URL (任意):
投稿コメント全ログ  コメント即時配信  スレ建て依頼  削除コメント確認方法
★阿修羅♪ http://www.asyura2.com/  since 1995
 題名には必ず「阿修羅さんへ」と記述してください。
掲示板,MLを含むこのサイトすべての
一切の引用、転載、リンクを許可いたします。確認メールは不要です。
引用元リンクを表示してください。