Windowsサーバー製品部 シニアプロダクトマネージャ 古川勝也氏

7月29日発表

　マイクロソフト株式会社は7月29日、セキュリティの取り組みについての説明会を開催した。説明会の内容は、同社が2001年10月に発表した長期的なセキュリティ対策プログラム「Strategic Technology Protection Program(STPP)」や、最重要事項としてビル・ゲイツCSAが掲げているセキュリティ方針「Trustworthy Computing」などについて。同様の発表会は、今年4月に発表されており、今回はWindows Updateの新方針などを中心に解説された。

　説明会では、マイクロソフト Windowsサーバー製品部 シニアプロダクトマネージャの古川勝也氏が同社の取り組みについて解説。まず、前回からのアップデートとして、「Microsoft Baseline Security Analyzer」と「Software Update Services(SUS)」の概要を説明した。

　「Baseline Security Analyzer」は、システム管理者が、企業内PCの脆弱性をGUIベースで確認できるツールで、4月に公開されている。「SUS」は、企業内の専用サーバーで、Microsoftの修正プログラムサイト「Windows Update」の利用を一括管理するシステムで、イントラネット内の各クライアントのWindows Update適用を簡易化するもの。クライアントには「Auto Update Client」のインストールが必要となる。SUSは、6月に公開されている。

前回からのアップデート	SUS利用時の注意点

　SUSでは、配布する修正プログラムを管理者が設定可能で、現在、SUSサーバーが6,120以上、Auto Update Clientは9,260がダウンロードされているという。なお、現状のSUSは、ドメインコントローラやSmall Business Server上での動作が保証外となっているほか、対象プログラムがセキュリティ修正プログラムと重要な更新のみとなっている。

　こうしたツールの公開により、Windowsの脆弱性を突いたウイルスの被害や情報の流出を防ぐのが目的。古川氏は、「現在Windows Updateには月間3億ダウンロードを超えるアクセスがある。しかしインストールベースを考えると決して多い数ではない」と説明した。同社では、Windows Updateによる修正プログラムの提供をより促進していく方針で、7月18日に公開されたビル・ゲイツ氏によるTrustworthy Computingに関するメールの中でもその旨が銘記されいている。

　今後の計画として、STPPの更なる推進のため、ハードウェアベンダーやウイルス対策ベンダなどとの協業や、セキュリティ専業ベンダー、SIとの協力を進めていくほか、定期的な啓蒙活動を行なっていくという。また、「Palladium」と呼ばれる、より安全なハードウェア/ソフトウェアセキュリティアーキテクチャの開発にも着手しているという。

　そのほか、コンピュータセキュリティ専業ベンダの株式会社ラックとの提携も発表された。この提携により、ラックのコンピュータセキュリティ研究所によるセキュリティ情報の提供の強化や、同社のもつセキュリティホール情報DB「SNSDB」などを組み合わせたソリューションなどの提供を予定しているという。

　また、STPPの導入以後の、セキュリティ問題の修正プロセスや、社内テストのプロセスについても説明されたほか、同社の公開しているセキュリティ修正プログラムの種類についても解説された。

修正プログラムの位置づけ

　同社では、現在、

の4つのセキュリティ修正プログラムを用意しているが、これらの位置づけについて解説が行なわれた。

　まず、Service Packについては、「製品を最新に保つための広範囲な修正プログラムを含む」ものとし、「必ずあててもらわなければいけない(マイクロソフト アジアリミテッド セキュリティレスポンスチーム 奥天陽司氏)」という。

　「Security Rollup Package(SRP)」は「セキュリティ修正プログラムと、最低限の周辺プログラム」、「累積的セキュリティ修正プログラム」は「重要なセキュリティ問題を複数含むもの」、「セキュリティ修正プログラム」は、「緊急かつ重要なセキュリティ問題を個別に公開したもの」としており、「Service Packから順番に当ててもらって、深刻度に応じて、セキュリティ修正をして欲しい(奥天氏)」と解説した。

　また、最近になり、セキュリティ修正プログラムが多く公開されている理由については、開発部門の製品レビューから修正点が洗い出されていることや、セキュリティに関心を持つユーザーからのレポートが急増していることなどを上げた。「今増えたのではなく、もともと多かったものを、対策が迅速になったと受け取って欲しい(奥天氏)」とし、問題修正までのプロセスが確立されたことにより、対策までのスピードが上がっていることを強調した。

マイクロソフト社内のプロセス	セキュリティ問題の修正プロセス	セキュリティ対策の推奨手順

　また、最後にはバッファオーバーランやCSS(クロスサイトスクリプティング)問題を突いたアタックのデモも行なわれ、セキュリティ問題に対しての注意を促した。

□マイクロソフトのホームページ
http://www.microsoft.com/japan/
□ニュースリリース(ラックとの提携について)
http://www.microsoft.com/japan/presspass/releases/072902lac.asp
□関連記事
【4月14日】マイクロソフト、セキュリティーについての取り組みを発表(INTERNET)
～セキュリティーを強化しないと、マイクロソフトには先が無い
http://www.watch.impress.co.jp/internet/www/article/2002/0416/micro.htm
【6月24日】マイクロソフト、LAN上で修正プログラムを入手可能にする
「Software Update Service」
http://pc.watch.impress.co.jp/docs/2002/0624/ms2.htm
【4月10日】Microsoft、Windows NT 4.0/2000/XPの脆弱性を
チェックするツールを公開(窓の杜)
http://www.forest.impress.co.jp/article/2002/04/10/mbsa.html
【2001年10月4日】Microsoft、セキュリティー問題に取り組むための
プログラムを開始(INTERNET)
http://www.watch.impress.co.jp/internet/www/article/2001/1004/micro.htm

(2002年7月29日)

[Reported by usuda@impress.co.jp]