現在地 HOME > 掲示板
> IT4 > 312.html
★阿修羅♪
|
現在地 HOME > 掲示板
> IT4 > 312.html
★阿修羅♪
|
|
(回答先: ウィンドウズに新たな欠陥3つ :2つは、対策の重要度が4段階のうち最高の「緊急」 投稿者 小耳 日時 2003 年 11 月 12 日 13:01:34)
エンタープライズ:
「月1回のパッチは逆効果?」- 米マイクロソフトの新方針に疑問の声【CnetJapan 記事 月一アップデートの矛盾はほとんどお笑いネタですね(^^;】
http://japan.cnet.com/news/ent/story/0,2000047623,20061916,00.htm
2003年11月12日(水) 8時48分
米Microsoftは11日(米国時間)、パッチを月に1回リリースするという
新方針にしたがって、一連のセキュリティパッチを公開する予定だ。
Microsoftは、10月にニューオーリーンズで開催された「Worldwide
Partner Conference」で、新セキュリティ計画の一環として、パッチリリ
ースの周期を月1回にすることを発表した。頻繁にリリースされるセキュ
リティアップデートと悪戦苦闘していた、システム管理者の負担を軽減す
るためだ、と同社は説明している。各回のパッチリリースでは、Windows
オペレーティングシステム(OS)にある複数の脆弱性が明らかになる、と
業界の情報筋は予想している。
しかしセキュリティ専門家は、Microsoftのパッチ方針変更の効果はは
っきりしないとして、これを合格点を与えることを避けている。米国のセ
キュリティ会社Neohapsisの共同設立者で最高技術責任者(CTO)のGreg
Shipleyは、実際には、新方針では事情が悪化すると述べている。
「重要なのはパッチのリリース次期ではなく、パッチのボリュームだ」
と、Shipleyはシカゴからの電話で述べた。「状況はより困難だ。一括で
大量にリリースされるパッチ全てに対し、回帰テストを行なわねばならな
くなってしまったのだ」
この方針は表面的には良さそうに見える。システム管理者にとっては、
月に1回システムを停止する予定を立てておけばすむようになるからだ。
「しかし多数のパッチを充てねばならなくなる。それに、もしなにかが
「故障」した場合、どこで問題が発生したかが、前よりわかりにくくなる」
(Shipley)
Shipleyは、Microsoftが顧客の負担を適切に軽減するには、この方針を
もっと柔軟にしなければならないと述べている。「もし世の中のシステム
に脆弱性が発見されたら、・・・パッチを出す周期とは関係なく、タイム
リーに対応すべきだ。しかし管理されたパッチリリースを行なっていれば、
脆弱性がそれほど問題にならないのかどうか、私には分からない」
セキュリティ専門家でInterNICの元最高セキュリティ責任者である
Richard Fornoも、アップデートの間隔が長く開いてしまうのは、リスク
の元になる可能性があると指摘している。
「システム管理者は、月に数回パッチを充てるよりも、1回だけ大型の
修正パッチを充てるほうが楽だろう。しかしそれはつまり、攻撃者にとっ
ては、パッチリリースの合間に損害を与えられるチャンスが大きくなるこ
とになる。Microsoftが次の月間パッチリリースを行なってから1週間以内
に、大規模なWindows攻撃が起こるかもしれない」(Forno)
「私が攻撃するとしたら、そのタイミングで悪質なコードを流すだろう」
(Forno)
関連記事:
米マイクロソフト、初のマンスリー・セキュリティパッチをリリース - 2003年10月16日
米マイクロソフト、新セキュリティ計画発表--3分野が重点に - 2003年10月10日
難問を投げかける米マイクロソフトへのセキュリティ集団訴訟 - 2003年10月6日
米マイクロソフト、新セキュリティ戦略は「水際作戦」? - 2003年10月2日
「マイクロソフトの支配が、国家安全保障の脅威に」:米業界団体報告書 - 2003年9月25日
この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。
題名には必ず「阿修羅さんへ」と記述してください。