マイクロソフトは「オオカミと少年」?--パッチを嘆くセキュリティ専門家

　サンフランシスコ発--企業各社の最高セキュリティ責任者は24日（米国時間）、ソフトウェアの欠陥にパッチをあてる作業は、依然困難が多すぎると指摘した。また、多くの企業では緊急アップデートの適用が追いつかず、システムが脆弱なままになっていると警告した。

　この主張は、サンフランシスコで開催中のRSA Security Conferenceのパネルディスカッションでなされたもので、脆弱性評価会社のQualysが同社クライアントのネットワークを監視して得た2年間分のデータも、この主張を裏付けている。このデータでは、インターネットに接続している脆弱なコンピュータの数が半減するまでに、1カ月かかっていることが示された。

　これに関して、最悪のセキュリティ欠陥の修正としては、あまりに時間がかかりすぎていると、Qualysの最高技術責任者（CTO）兼エンジニアリング担当バイスプレジデント、Gerhard Eschelbeckは述べている。

　企業のセキュリティ対策の大部分は、ソフトウェアの欠陥へのパッチ適用に依存しているが、重要なシステムへのパッチ適用作業には時間がかかるため、システムが脆弱なままになってしまう。企業のセキュリティ担当者がいつも頭を悩ませているこうした問題が、今回のデータや専門家の警告で浮き彫りとなった。また、実は流行する半年前から明らかになっていた欠陥を悪用した昨冬のSlammerワームや、昨年8月に流行したMSBlastワームで、数多くのシステムが被害を被った事実も、この問題を浮き彫りにしている。

　Microsoftは昨年10月、パッチを定期的に適用しソフトウェアの安全を図るよう顧客を説得しようとした同社の試みが、概ね失敗に終わったことを認めた。同社はパッチ配布方法を改訂し、パッチリリースの頻度を月1回に制限するとともに、顧客のネットワークの境界を安全にすることを狙った他のセキュリティへの取り組みで、システムのアップデートを強化している。

　パッチリリースを月1回にしたことについては、専門家の間で意見が分かれている。

　「Microsoftが、緊急の脆弱性に対処するパッチを数多くリリースしていた時には、まるで『オオカミが出たぞ』と叫ぶ童話の少年のようにあまりに頻繁だったので、世間はMicrosoftの発表に動じなくなっていた」と、スーパーマーケットチェーンSafewayの情報セキュリティ担当バイスプレジデント、Phillip Harrisは述べている。「これまでは始終『オオカミが出たぞ』と大騒ぎしていたが、単にそれを月に1度にしただけのことだ」（Harris）

　同氏はまた、Microsoftがアップグレードの間隔を予測可能にしたことで、攻撃を試みようとする者にとっては、企業システムの弱点を探しやすくなる恐れがあるとも述べている。企業は、Microsoftがパッチを完成させるまでの間、欠陥をすでに把握している攻撃者を前に、脆弱な状態に置かれる可能性がある。

　「こうした脆弱性を悪用する輩は、スケジュール通りに作業を進めているわけではない」とHarrisは強調した。