Insider's Eye
「信頼できるコンピューティング」への長い道のり(1)

―― マイクロソフトのセキュリティ・アクティビティを整理する ――

デジタルアドバンテージ 小川誉久
2002/04/18


 2002年4月16日、マイクロソフトは、「マイクロソフトのセキュリティへの取り組みについての記者説明会」と題するプレス向けミーティングを開催した。

 新しいセキュリティ関連ツールが紹介されたことを除けば、これといって新しい発表があったわけではなく、題名にある通り、「マイクロソフトのセキュリティへの取り組み」に対する現在の状況を整理するのがミーティングの主旨であった。

 この業界ではありがちなことだが、製品の名前やキャンペーン名、スローガンなど、新しい名前が次々と登場して、どれがだれに対して、何を目的とするものなのかが混乱しているので、このへんで整理しましょうということである。これに習い、本稿でもこの点を整理してみなさんにお伝えしよう。

 今回説明された全体像を図にすると、次のようになる。以下では、この図をもとに、マイクロソフトの取り組みをまとめていこう。

マイクロソフトのセキュリティへの取り組み
ビル・ゲイツ氏の全社員向けメールが発端となったスローガン「Trustworthy Computing(信頼できるコンピューティング)」のもと、社内向けキャンペーンの「Secure Windows Initiative」と、主にユーザー向けの施策であるSTPP(Strategic Technology Protection Program)の2つで社内とユーザーの双方をカバーする。

まずは社内の意識改革【Secure Windows Initiative】

 上図は、現時点でのマイクロソフトのセキュリティに対する各種の取り組みをツリー形式に整理したもので、時間的な経緯を表したものではない。このようなツリーはいきなり完成されたわけではなく、CodeRedやNimdaといった致命的なセキュリティ・クライシスの経験など、紆余曲折を経て、現在はこの形式に落ち着いているというのが実際のところだ。従ってこのツリーを理解するには、時間的な経緯を追跡した方が分かりやすい。以下は時間的な経緯を追いながら、ツリーを解説していこう。

 クライアントOSとしてはWindowsが、ビジネス・アプリケーションとしてはOfficeが、それぞれ他の追随を許さない圧倒的なシェアを誇る製品であることは誰も疑わないだろう。クライアント・コンピュータ向けのソフトウェアは、実質的にマイクロソフトの独壇場である。いまやマイクロソフトにとって、新製品を発表する際に最も手ごわい競合製品は、他社製品ではなく、自社製品の旧バージョンとなっている。

 しかしサーバ分野では、マイクロソフトはまだ新参者だ。機能性よりも、信頼性や実績、企業ブランドが重視されるこの分野では、個人向けにパッケージ・ソフトウェアを売りまくったマイクロソフトの実績やノウハウは必ずしもストレートには通用しない。前述したように、急成長期から安定期に移行しつつあるクライアント・コンピュータ市場では、自社製の前バージョンのソフトウェアが大きなシェアを持っており、バージョンアップという新たな投資を促すだけの付加価値を提供するのがますます困難になっている。またマイクロソフトが提唱する次世代情報戦略のMicrosoft .NETは、クライアント・コンピュータとサーバ・コンピュータの双方を統合して、「情報サービス」という大きなくくりでコンピューティングを捉える取り組みであり、これを推し進めるには、サーバ分野にもマイクロソフト・テクノロジを普及させなければならない。サーバ分野は何としても攻略しなければならない山なのだ。

 だが何といっても最大のネックは、実績や信頼性という点でマイクロソフトは圧倒的に不利な立場にいるということだ。インターネットでは後発のマイクロソフトは、安全なLAN環境を出発点として、自社製品にネットワーク機能を追加し、機能を向上させてきた経緯がある。このため、Windows 9xWindows NTといった従来バージョンのWindowsでは、うっかりネットワークに接続すると、マシンのリソースが丸見えになってしまうなどという問題があった(現在販売されているWindows XPでは、この点はかなり改善されている)。これを解決するには、プログラマーやテスターなど、マイクロソフトで製品開発に携わるすべての人たちが、製品の使用環境はこれまで相手にしてきたスタンドアロン・パソコンではなく、インターネットに接続されたネットワーク・パソコンであるという意識改革が必要だった。

 このためマイクロソフトが、1年以上前から、社内向けの意識改革キャンペーンとして開始したのが「Secure Windows Initiative」である。図にある通り、このSecure Windows Initiativeでは、プログラマーやテスターの教育、製品デザインやコーディング、テスティングの各段階における複数グループ間の相互レビュー、セキュリティ対策関連ツール(社内向けと社外向け)の開発などを具体的なアクション・プランとした。

 しかしこのキャンペーンをよそに、2001年8月初旬にはCodeRed、9月末にはNimdaという、IIS(Internet Information Server)を感染媒体とするコンピュータ・ワームが大流行し、インターネットを震撼させる社会問題にまで発展してしまった(CodeRedの詳細は「Insider's Eye:Code Redワームの正体とその対策[改訂版]」を、Nimdaの詳細は「Insider's Eye:ネットを震撼させたコンピュータ・ワーム、Nimdaを検証する」を参照)。これらはいずれも、IISにあったバッファ・オーバーフローセキュリティ・ホールを突いて感染を広げるワームである(Nimdaはこれだけでなく、メールやファイルを経由した感染ルートも用意されていた)。このセキュリティ・ホールを解消する修正プログラム自体は以前から提供されていたのだが、IISユーザーの多くはこれを適用しておらず、ワームの爆発的な流行を許してしまった。つまり、社内ばかりでなく、ユーザーの意識やシステムの運用方法を変えなければ、こうした問題の発生を防止できないことが分かったわけだ。

ユーザー向けアクション【Strategic Technology Protection Program】

 こうして、マイクロソフトが主にユーザーをターゲットとして開始したセキュリティに関するアクションの名前が「Strategic Technology Protection Program:STPP」である。全体としてこのSTPPでは、セキュリティを確保するために、ユーザーが知らなければならない情報や、セキュリティ・レベルの向上と維持を容易にする管理ツールなどを提供していく。

■オンラインでの情報提供
 オンラインの情報提供としては、大きくWebと電子メールを使った以下の情報サービスがある。利用はいずれも無償である。

・TechNetセキュリティ・センター【Webサイト】
http://www.microsoft.com/japan/technet/security/
ITプロフェッショナル向けWeb情報サービス

・ホーム・ユーザー向けセキュリティ対策早わかりガイド【Webサイト】
http://www.microsoft.com/japan/enable/products/security/
ホーム・ユーザー向けに、使用OS別、使用アプリケーション別に修正モジュールの案内を行っている。

・マイクロソフト・プロダクト・セキュリティ警告サービス 日本語版【メール情報サービス】
http://www.microsoft.com/japan/technet/security/bulletin/notify.asp
セキュリティ関連情報をプッシュ型のメールを使って通知するサービス。

 忙しい管理者にとって、Webサイトを定期的にチェックするのは難しいものだ。その場合には、メールを使ったセキュリティ警告サービスが便利である。一時はタイムリーな情報配信がなされていないなどと批判されることもあったが、最近では、ほぼリアルタイムに最新のセキュリティ情報が配信されるようになっている。

■プロダクトの強化とツールの提供
 セキュリティ問題を修正するための修正プログラムの公開、前述したSecure Windows Initiative活動の一環として開発されたセキュリティ管理ツールを提供する。修正プログラムは、基本的には問題が発覚した時点で、その問題点の修正を最優先にして提供されるものである。そのため問題が多発すると、続々と修正プログラムが公開されて混乱に陥る。残念ながら現状では、さまざまな製品のさまざまな修正プログラムが次々と公開され、ユーザーは自分にとって必要な修正作業が何なのか分かりづらくなっている。

 修正プログラムには、それが提供される段階によって大きく次の3つのレベルがある(修正プログラムのレベルに関する詳細は「Windows TIPS:セキュリティ・パッチの3つのレベル」を参照)。

対応レベル 特徴
早期対応重視レベル(修正プログラム) 問題となっているセキュリティ・ホールからシステムを一刻も早く守るため、早期対応を最重要視し、必要な対策だけを施したレベル。その代わり、インストールの簡便化(自動インストール)や多国語対応などは後回しにされる。最新のセキュリティ情報ページからたどってダウンロードできるのはこのレベルの修正プログラムである
Windows Update対応レベル 適用されるコンピュータの構成に応じたさまざまな依存関係に対応し、問題なく自動アップデートできるように対応されたレベル。ただし自動化に対応するため、うえの「早期対応重視レベル」からは1〜2週間程度公開が遅れる
Service Packレベル 不具合の修正、セキュリティ・パッチなどをひとまとめにしたService Packに対応したレベル。複数の修正モジュールやセキュリティ・パッチを組み合わせて適用しても、システムが正常に稼働することが十分にテストされたバージョン

 このうち問題は、単独の問題修正を行う修正プログラムである。表にも示したとおり、Windows UpdateやService Packは、テストなどに時間がかかるため、結果的に緊急性の高いセキュリティ問題については、修正プログラムの適用で対応しなければならない。しかしこの際には、自システムに関係する修正プログラムを収集し、一部の修正プログラム間にある依存関係を意識して、それらを正しい順序で適用しなければならない(正しい順序でインストールしないと、最新の状態にならない場合がある)。これが簡単ではない。

 そこでマイクロソフトは、特定製品(例えばIEなど)に対する複数の修正プログラムをひとまとめに適用できるように、「累積的な修正プログラム(英語ではSecurity Rollup Package:SRP)」を適当なタイミングで公開している。当初はSRPは、隔月で提供すると発表されていたが、さらに短い間隔で提供する方向で検討を進めているようだ(今回の発表資料によれば「さらに適切な周期」とされている)。

 さらにマイクロソフトは、複数のWindows OSや、IISに関する修正プログラムをひとまとめにして、CD-ROMに収録したMicrosoft Security Tool Kitを提供している。原稿執筆時点(2002年4月中旬)では、英語版のみ提供されているが、今回のミーティングでは、この日本語版を現在開発中との発表があった(提供時期は未定)。

 なお提供が待たれるWindows 2000のService Pack 3については、2002年の夏までには公開予定とのことだ。Windows XP Service Pack 1については、公開時期の発表はなかった。

 そしてこれらに加え、Windowsシステムの安全性を検査し、必要な手順などについて指示するMicrosoft Baseline Security Analyzerや、企業の管理者が、社内クライアントに対し、プッシュ型でWindows Updateを適用できるようにするMicrosoft Software Update Servicesという2つのツールが紹介された。これについては、すぐあとで詳しく紹介する。

■サービスの提供/パートナーとの連携
 ここでいうサービスとは、ウイルス問題に関する無償サポート窓口(マイクロソフト セキュリティ情報センター)などを指している。

 パートナーとの連携では、アンチウイルス・ベンダやシステム・インテグレータなどのパートナー企業との情報交換、情報セキュリティに関する啓蒙活動、万一の問題発生時の連絡体制の確立などを行う。

 

 INDEX
  Insider's Eye
  「信頼できるコンピューティング」への長い道のり(1)
    「信頼できるコンピューティング」への長い道のり(2)
 
「Insider's Eye」


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間