米Microsoftは11日(米国時間)、パッチを月に1回リリースするという新方針にしたがって、一連のセキュリティパッチを公開する予定だ。
Microsoftは、10月にニューオーリーンズで開催された「Worldwide Partner Conference」で、新セキュリティ計画の一環として、パッチリリースの周期を月1回にすることを発表した。頻繁にリリースされるセキュリティアップデートと悪戦苦闘していた、システム管理者の負担を軽減するためだ、と同社は説明している。各回のパッチリリースでは、Windowsオペレーティングシステム(OS)にある複数の脆弱性が明らかになる、と業界の情報筋は予想している。
しかしセキュリティ専門家は、Microsoftのパッチ方針変更の効果ははっきりしないとして、これを合格点を与えることを避けている。米国のセキュリティ会社Neohapsisの共同設立者で最高技術責任者(CTO)のGreg Shipleyは、実際には、新方針では事情が悪化すると述べている。
「重要なのはパッチのリリース次期ではなく、パッチのボリュームだ」と、Shipleyはシカゴからの電話で述べた。「状況はより困難だ。一括で大量にリリースされるパッチ全てに対し、回帰テストを行なわねばならなくなってしまったのだ」
この方針は表面的には良さそうに見える。システム管理者にとっては、月に1回システムを停止する予定を立てておけばすむようになるからだ。「しかし多数のパッチを充てねばならなくなる。それに、もしなにかが「故障」した場合、どこで問題が発生したかが、前よりわかりにくくなる」(Shipley)
Shipleyは、Microsoftが顧客の負担を適切に軽減するには、この方針をもっと柔軟にしなければならないと述べている。「もし世の中のシステムに脆弱性が発見されたら、・・・パッチを出す周期とは関係なく、タイムリーに対応すべきだ。しかし管理されたパッチリリースを行なっていれば、脆弱性がそれほど問題にならないのかどうか、私には分からない」
セキュリティ専門家でInterNICの元最高セキュリティ責任者であるRichard Fornoも、アップデートの間隔が長く開いてしまうのは、リスクの元になる可能性があると指摘している。
「システム管理者は、月に数回パッチを充てるよりも、1回だけ大型の修正パッチを充てるほうが楽だろう。しかしそれはつまり、攻撃者にとっては、パッチリリースの合間に損害を与えられるチャンスが大きくなることになる。Microsoftが次の月間パッチリリースを行なってから1週間以内に、大規模なWindows攻撃が起こるかもしれない」(Forno)
「私が攻撃するとしたら、そのタイミングで悪質なコードを流すだろう」(Forno)
この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
地味ながら負荷の高い議事録作成作業に衝撃
使って納得「自動議事録作成マシン」の実力