「この先も、パッチはずっとなくならない」：マイクロソフト幹部

　Microsoftは、同社製品にはセキュリティ面で信頼性が欠けていると皆から見られていることに、やっと気が付いたようだ。 しかし、ウイルスに悩まされている消費者をなだめるのに、一体どれだけの努力が必要なのだろうか？

　Microsoftの北欧担当バイスプレジデント、Klaus Holse Andersenは、コペンハーゲンで12日（現地時間）開催されたMicrosoft IT Forumでの講演のなかで、同社のセキュリティに関する実績が一流とは呼べないものであると認めた。「今年はかなり辛い1年だ・・・セキュリティの観点からいえば、我々は、予想以上のパッチをリリースすることになった。しかし我々は、この状況の改善に向けて行動を開始している」

　Microsoftがウイルス対策、特にパッチ管理に関して努力していると評価されたがっていることは明らかだ。同社は、新たに発売したSystems Management Serverで、企業全体でのパッチ管理機能を導入したり、同社ウェブサイトからパッチ管理のガイドラインを配信したり、あるいはユーザーに提供するパッチの数やサイズ、提供場所を整理するなど、パッチ管理によるセキュリティ向上を押し進めている。同社はこうした施策により、セキュリティ問題の解決に全力を注いでいることを印象づけ、セキュリティ面の信頼性に欠けるという汚名を返上しようとしているのだ。

　しかし同社が、発見し次第すぐにリリースしていたパッチを、月1回のリリースに切り替える方針に大きく転換したことで、セキュリティがさらに弱まる恐れが出てきた。ウイルス作者が、ターゲットとなるシステムを最適なタイミングで狙い撃ちできるようになったためだ。

　これに対して、Microsoftのシニアセキュリティスペシャリスト、Steven Adlerは「そんなことはない」と述べている。

　世間でセキュリティの警告が混乱する中、パッチをリリースしていた以前の方が、ハッカーやウイルス作者以外の人々がメッセージを見逃す可能性がはるかに高かった。ところが、現在では、月のどの日にパッチがリリースされるかがわかっているので、企業のIT管理者はこれに合わせてスケジュールの調整を行い、全てのアップデート作業を行えるようになった、というのがMicrosoftの主張だ。

　Microsoftは、セキュリティ問題の解決に向けて、次にはどんな手を打ってくるのだろうか？それは、 おそらくソフトウェアとハードウェアと教育を組み合わせたものになるようだ。同社が次に取り組むことの1つは、ビヘイビア・ブロックだ。これは、ネットワーク上の全てのメールアドレスにメッセージを送信するなど、コンピュータの怪しい振る舞いを検知・阻止するメカニズムを指すが、こうした怪しい振る舞いは、しばしばウイルスを感染させる際に特徴的な手口となっている。

　ハードウェアとソフトウェアの安全性向上に加え、同社がクリスマスシーズンに向けて宣伝しているのは、セキュリティに関する教育だ。同社は技術にあまり詳しくない人々に、セキュリティの脅威を検知して、自らを防護する方法の知識を深めてもらう、キャンペーンを実施する。

　消費者ユーザーに焦点をあてているにもかかわらず、Microsoftはセキュリティの問題に関して、技術に明るくないユーザーを責めてはいないようだ。「セキュリティの問題が、我が社の顧客であるユーザーの責任だというのなら、結局それは我々に責任があるということになる。我々は、こうしたユーザーに十分な知識と情報を提供し、どんなリスクがあるかをきちんと知ってもらわなくてはならない」とAdlerは述べた。

　しかしながら、「ソフトウェア会社なら、もっとまともなソフトウェアを書いてほしい」という消費者からの要望に対しては、Adlerの答えは些かそっけないもので、Microsoftには競合相手がなく、また同社の製品が他社のものと比べて特に脆弱なわけではなく、場合によっては他のものより欠陥が少ないと述べ、一例として、今年4月からリリースされたパッチの数で比べると、MicrosoftよりもSuSEのほうが多いと指摘した。

　Microsoftの製品は、将来パッチが要らないような、安全な製品になるのだろうか? この質問に対して、Adlerは「そうは思わない」と答え、システムやネットワークへ攻撃をしかける動機付けがある限り、そのための新たな手口が生み出されるだろうと述べた。

　「コンピュータのセキュリティに関する限り、ユートピアにたどり着くことはこの先もないだろう」（Adler）