「月1回のパッチは逆効果?」- 米マイクロソフトの新方針に疑問の声

 米Microsoftは11日(米国時間)、パッチを月に1回リリースするという新方針にしたがって、一連のセキュリティパッチを公開する予定だ。

 Microsoftは、10月にニューオーリーンズで開催された「Worldwide Partner Conference」で、新セキュリティ計画の一環として、パッチリリースの周期を月1回にすることを発表した。頻繁にリリースされるセキュリティアップデートと悪戦苦闘していた、システム管理者の負担を軽減するためだ、と同社は説明している。各回のパッチリリースでは、Windowsオペレーティングシステム(OS)にある複数の脆弱性が明らかになる、と業界の情報筋は予想している。

 しかしセキュリティ専門家は、Microsoftのパッチ方針変更の効果ははっきりしないとして、これを合格点を与えることを避けている。米国のセキュリティ会社Neohapsisの共同設立者で最高技術責任者(CTO)のGreg Shipleyは、実際には、新方針では事情が悪化すると述べている。

 「重要なのはパッチのリリース次期ではなく、パッチのボリュームだ」と、Shipleyはシカゴからの電話で述べた。「状況はより困難だ。一括で大量にリリースされるパッチ全てに対し、回帰テストを行なわねばならなくなってしまったのだ」

 この方針は表面的には良さそうに見える。システム管理者にとっては、月に1回システムを停止する予定を立てておけばすむようになるからだ。「しかし多数のパッチを充てねばならなくなる。それに、もしなにかが「故障」した場合、どこで問題が発生したかが、前よりわかりにくくなる」(Shipley)

 Shipleyは、Microsoftが顧客の負担を適切に軽減するには、この方針をもっと柔軟にしなければならないと述べている。「もし世の中のシステムに脆弱性が発見されたら、・・・パッチを出す周期とは関係なく、タイムリーに対応すべきだ。しかし管理されたパッチリリースを行なっていれば、脆弱性がそれほど問題にならないのかどうか、私には分からない」

 セキュリティ専門家でInterNICの元最高セキュリティ責任者であるRichard Fornoも、アップデートの間隔が長く開いてしまうのは、リスクの元になる可能性があると指摘している。

 「システム管理者は、月に数回パッチを充てるよりも、1回だけ大型の修正パッチを充てるほうが楽だろう。しかしそれはつまり、攻撃者にとっては、パッチリリースの合間に損害を与えられるチャンスが大きくなることになる。Microsoftが次の月間パッチリリースを行なってから1週間以内に、大規模なWindows攻撃が起こるかもしれない」(Forno)

「私が攻撃するとしたら、そのタイミングで悪質なコードを流すだろう」(Forno)

この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画特集

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]