責められるべきはMSだけだろうか？：Security&Trust ウォッチ（12）

　主要なニュースサイトを見ていると、「新しいセキュリティホールが発見された」と報じられる場合、その大半はマイクロソフト製品に関するものだ。2003年に入ってからだけでも、Internet Explorerの累積的なパッチ（MS03-004）やWindows Meの脆弱性（MS03-006）などが指摘されている。

　マイクロソフトはしばしば、「バグだらけの製品を出している」「利便性、使い勝手、リリース時期などを優先するあまり、セキュリティを軽視している」「情報が分かりにくい」などと非難されており、その多くには同意できる。だが今回はあえて、相対的な観点から「マイクロソフトほど真剣にセキュリティに取り組んでいる企業はない」と弁護に回ってみたいと思う。

　断っておきたいが、現在のマイクロソフトのセキュリティ問題に対する姿勢は、絶対的なレベルでは、まだまだ不十分なものだと私は思う。問題が指摘されてから対策するまではもっと迅速であっていいと思うし、だからといって、不用意にテスト版を公開してしまうといったミスは防がれてしかるべきだ。また、パッチを適用した際の副作用についての検証・情報公開はもっと密であるべきだし、提供されるセキュリティ情報が日本語化されているのはいいが、「マイクロソフト語」ではなく、だれにでも理解できるように書くべきだ……などなど、改善すべき事柄を挙げていけば、切りがない。そのシェアや影響度、利用しているユーザー層を考えれば、このくらいは当然だ。

　しかしそれでも、ほかのベンダに比べればずいぶんよくやっているし、真剣に情報提供に取り組んでいる、と見ることもできる。

　例えばマイクロソフトでは、微妙に信頼できない挙動があったりはするが、Windows Updateという形で、必要最低限のパッチを自動的に配信・適用する仕組みを提供している。登録制にせよ、新しいパッチが公開されたときに、問題点とともにそれを知らせるメールを配信しているし、セキュリティ情報のみを集めたWebページも開設済みだ。

　翻って、ほかのベンダはどうか。例えば、OS提供ベンダということでは同様のアップルコンピュータでは、「Software Update」という形で、脆弱性の修正やアップデートを自動的に適用してくれる。ただ、セキュリティ情報についてまとめ、明示的に通知してくれる仕組みは、少なくとも私が経験した限りはないようだ（もしあればぜひ教えていただきたい）。また、Software Updateによって、既存の設定が書き換えられてトラブルにつながるというケースも、ネット上で報告されているようである。また、同社のWebのサポート情報は比較的分かりやすくまとまっているのだが、セキュリティ関連情報は独立していないようだ。独立させるほど、セキュリティホールは多くないのだ、と見なすこともできようが、これだけセキュリティに対する意識が高まっている昨今だけに、会社の姿勢としては若干疑問が残る。

エンタープライズ向け製品の対応は？

　エンタープライズ向けの製品となると、実際に私自身がサポート契約を結んでいるわけではないので未知の部分が多い（もし実情をお知らせいただける方がいれば、ぜひご連絡いただきたい）。だがBugtraqなどへの投稿を見る限り、Solaris、HP-UX、あるいはAIXといったUNIXベースのOSにしても、Oracle DBをはじめとするデータベースシステムやWebアプリケーションにしても、まずまずの頻度でセキュリティホールが発見されている。ハードウェアにしてもそうだ。例えばルータやNASアプライアンスにだってセキュリティホールはある。

　これらに対する詳細情報や修正パッチの提供は、果たしてどの程度迅速になされているのだろう？ 日本語で、分かりやすい形で情報を把握できるようになっているのだろうか？ 小まめに情報をアップデートし、顧客を支援している好例としては、ヤマハの「RTシリーズ」のサイトを挙げたいが、同レベルの対応を行っている企業は果たしてどれほどあるのだろう？

　日本の場合、販売代理店の対応も絡んでくるから、さらに複雑になる。

　セキュリティ情報サイトやメーリングリストを通じて独自に、あるいはセキュリティ情報に特化したサービス企業などと契約して、各種のセキュリティホール情報を手に入れている顧客企業も多々あると思われる。これに対し、製品を納入した代理店側の対応がついていかなかったり、あるいは、問い合わせに対して間違った情報を提供してしまったり、などというケースもあるのではないだろうか。つまり、代理店側のセキュリティ意識や情報収集が、顧客に追いついていない、ということだ。

　話はずれるが、自社が外部の企業と、システムインテグレーション契約やシステム開発契約を結んだとしよう。そこに組み入れられたOSやアプリケーション、コンポーネントにセキュリティホールが見つかった場合、修正作業はいったいどこが行ってくれるのか、またその費用はどこが負担すべきかについても、事前にきちんと取り決めておく必要がありそうだ。

　もう1つ考慮しておくべきケースがある。オープンソースのソフトウェアを利用している場合だ。これはもう、そのソフトウェア次第なのだか、問題の指摘後迅速にパッチがリリースされる場合もあれば、なかなか適切な情報が示されず、やきもきする場合もある。著名なソフトウェアについては、割と頻繁に問題が指摘されるものの、対応もスムーズな場合が多い。ただ中には、Internet Software Consortium（ISC：BINDなどの開発元）のように、パッチの公開を見合わせ、一方で有料サポートサービスへの登録を勧誘しようとしたと指摘されているケースもある。一概に「オープンソースだから安全だ」などとはいえないのだ。基本的には、その配布元をウオッチしていればいいことなのだが、多少の不便さはぬぐえない。

　さて、こうして見てみると、マイクロソフトの場合、そのリスクの大きさからいえば不十分ながら、他ベンダに比べれば比較的ましな対応をしているという見方も、あながち間違ったものではないといえるのではないだろうか。

　そのマイクロソフトが、プレス向けに行っているセキュリティ情報に関する説明会の中で、こんなことを述べていた。「数年前から、現状のセキュリティ状態では、品質を重視する日本の顧客には受け入れられないということを米国本社に上げていた」。そしてその際には、日本の顧客から寄せられた声やリクエストが、大きな役割を果たしたのだという。実際にはCodeRedやNimdaの発生を受けて、同社いうところの「Trustworthy Computing」が推進されることになったわけだが、その背後では顧客からの声が大きな役割を果たしていたに違いない。

　となると、ほかのベンダについても同様に、セキュリティ問題への迅速な対応や情報提供を求める声を上げていくべきではないだろうか。結局のところベンダを動かすのは、市場のニーズであり、顧客のリクエストにほかならないのだ。