セキュリティ対応の第 3 の波を目指して

Scott Culp

2001 年 1 月

新しいミレニアムが始まったことですし、水晶玉でも取り出して未来を占うにはよい機会だと思います。そこで、Microsoft Security Response Center から、進行中の飛躍的な改良点についていくつか皆様にお知らせしたいと思います。これらの改良点は、「セキュリティ対応の第 3 の波」と呼ばれる目標に向けてマイクロソフトを前進させるための努力の一環です。このコラムでは、第 3 の波とは何か、また、第 3 の波への前進を促進させる具体的な構想をいくつか説明します。

トピック

3 つの波とは 3 つの波とは

第 3 の波へのマイクロソフトの取り組み 第 3 の波へのマイクロソフトの取り組み

次の課題 次の課題

3 つの波とは

セキュリティ対応の 3 つの波とは、ベンダのセキュリティ対応プロセスの成熟度を分類するモデルのことです。我々の経験から、業界の大部分はまだ第 1 の波の上ですが、ベンダの多くが第 2 の波に向かって前進していると言えます。第 2 の波のベンダは少数存在していますが、現在第 3 の波のベンダは存在しません。我々の目標は、来たるべき年に第 3 の波へ向かって第一歩を踏み出すことです。

このモデルが、ベンダのセキュリティ対応プロセスを網羅しているだけであることを強調しておきます。このモデルには、ベンダ製品のセキュリティまたはそのソフトウェア開発プロセスの品質に関する評価は含まれていません。ですから、マイクロソフトのセキュリティ開発プロセスの品質、および自社製品のセキュリティは大きく前進しているのですが、その努力については、ここでは述べません。

第 1 の波

第 1 の波のベンダは、セキュリティ上の脆弱性を自然現象のようなもの、つまり、ほとんど前兆なく訪れてベンダとその顧客を混乱に陥れる予測できない災害、といった見方をしています。第 1 の波のベンダがセキュリティ上の脆弱性をこのように捉える動機はさまざまです。それは、自社の製品には非常に高い信頼性があるので、セキュリティ上の脆弱性があるはずがないと信じ込んでいるためであったり、単に自社の製品にセキュリティ上の脆弱性があることなど考えもしないためです。または、より知名度の高い競合他社の方にハッカーの注意が向いているため、「レーダーに引っ掛からずに飛行する」ことができると考えているためかもしれません。

理由はどうであれ、第 1 の波のベンダには、効果的で、繰り返し利用できるセキュリティ対応プロセスが欠けているという特徴があります。たとえば、第 1 の波のベンダのある製品でセキュリティ上の脆弱性が発見されると、そのベンダは、次の製品をリリースするまで嵐が通り過ぎるのを待っているだけかもしれません。逆の極端な例を挙げると、がむしゃらに対応しようとするのですが、修正プログラムを迅速に開発し配布したり、顧客に何が問題かを知らせたりといった手段がないことに気付くという場合があります。いずれの場合でも、第 1 の波のベンダが顧客に対して有効な対応策を提供できるとは思えません。

第 2 の波

第 2 の波のベンダは、セキュリティ上の脆弱性はソフトウェアにおいて避けることのできない要素であると認識しており、そのような脆弱性を処理するためのプロセスを開発しています。一般的に第 2 の波のベンダは、ユーザーが脆弱性を報告できるような、広く公開されたチャネルを利用した、正規の対応プロセスを用意しています。ユーザーから寄せられたレポートの調査や修正プログラムの作成を行うのと同様に、顧客に新たな脆弱性を知らせるチャネルの開発にも力を注いでいるのです。第 2 の波のベンダは、通常、過去の誤りに学び、それを将来の製品の品質改善に確実に役立てるというフィードバック メカニズムも備えています。

第 2 の波のベンダは、自らがもたらした成功の犠牲者となる場合があります。ベンダがカバーする範囲を広げ、対応をすればするほど、顧客は修正プログラム、報告書、情報の量に圧倒されることになります。成功を収めている第 2 の波のベンダは、成功かどうかを測る尺度が、作成した修正プログラムの数ではなく、現時点でどの程度のセキュリティ修正プログラムが、それを必要とする顧客のシステムにインストールされているかということだと認識しています。これが、第 2 の波のベンダと第 3 の波のベンダとを区別する重要な違いです。

第 3 の波

第 3 の波のベンダは、全体的な問題として、セキュリティに焦点を当てています。第 2 の波のベンダのプロセスは、ある特定のコンピュータに対して、適切な修正プログラムの適用を容易にするかもしれません。ですが第 3 の波のベンダは、ネットワークのセキュリティを左右するのは、セキュリティ上のすべての脅威に対して防御を張っている、ネットワークを構成するひとつひとつのコンピュータであるということを認識しています。その結果として、第 3 の波のベンダは、顧客がシステムを保護するプロセスを管理する上で有効なツールと情報を提供することを考えました。たとえば、ネットワーク上のどのコンピュータに何のための修正プログラムが適用されているかを顧客に知らせるためのツール、新たにリリースされた修正プログラムを必要としているコンピュータを特定するためのツール、また必要とされる修正プログラムをネットワーク全体に適用するためのツールを提供することができます。

さらに第 3 の波の対応プロセスは、顧客を混乱させることが非常に少なくなっています。第 2 の波のベンダのセキュリティ対応プロセスは、各修正プログラムが突然届いえたうえに至急の対応を要求するものであるため、非常事態が繰り返し発生しているだけのように感じられます。これでは顧客の反応が鈍くなってしまい、ついには顧客が重要な修正プログラムの適用を見送ることにもなりかねません。これとは逆に、第 3 の波のベンダの場合は、本当に緊急の適用を要する修正プログラムがあったときにのみ、その重要性が確実に示されるような方法を採用しています。修正プログラムの深刻度を顧客が簡単に把握できるような方法、さらに緊急か、そうでないかを判断できるようにする各種の配布メカニズムも提供します。つまり、第 3 の波のベンダのセキュリティ プロセスは、顧客の通常の保守作業にできるだけ含まれるように考えられているのです。

 

第 3 の波へのマイクロソフトの取り組み

我々は、マイクロソフトは業界でも最も優れたセキュリティ対応プロセスを持っていると自負しています。それでも、我々は現在、第 2 の波のベンダであると考えています。しかし、我々には進行中の数々の構想があり、これによって第 3 の波への最初のステップを踏み出せると信じています。その中でも重要な項目についてこれから説明します。完了する時期は異なりますが、来年中には、すべてを完了させる計画です。

深刻度の評価基準についての情報

これまで、我々は製品が無数のシナリオのもとで使用されていることから、セキュリティ上の脆弱性の深刻度を格付けすることに積極的ではありませんでした。ある顧客に対してはあまり脅威とならない脆弱性も、別の顧客に対しては大きな脅威となることがあるからです。しかし、顧客がこのような情報の提供を必要としていることが明らかになっています。

我々は、現在、一連の深刻度の評価基準を開発中です。これらの基準が完了したときには、サード パーティのセキュリティ専門家の協力を得てそのレビューを行い、http://www.microsoft.com/japan/technet/security/default.asp に掲載し、マイクロソフトのセキュリティ情報のWeb ページで、サービスを開始します。評価基準は顧客全体について作成され、脆弱性がシステムに対して及ぼす危険を顧客自身が評価する必要があることにご注意ください。ただし、深刻度の評価基準が完成すれば、顧客側では、各種修正プログラムの適用の緊急性を評価し、直ちに適用する必要がある修正プログラム、定期的な保守の際に適用すればよい修正プログラムを非常に簡単に判断できるようになるでしょう。 (深刻度の評価基準については、http://www.microsoft.com/japan/technet/security/policy/rating.asp をご覧ください。)

セキュリティ修正プログラムの配布メカニズムの追加

現在、我々には、顧客にセキュリティ修正プログラムを配布するための 2 つの選択肢があります。セキュリティ上の脆弱性を確認したとき、我々は修正プログラムを開発するか、製品の次のサービスパックに修正プログラム含めるかの対応をしています。全体として、サービスパック が配布手段として望ましいと考えています。どうしても、きわめて深刻なセキュリティ上の脆弱性が数多くあるため、次のサービスパックまで待っていられないことがありますが、修正プログラムに伴う混乱に理由をつけ正当化しないでください。我々は今 3 番目のオプションとして、定期的な「ロールアップ」を開発中です。特定の製品に対してこの選択肢を公開する予定です。

公表されているスケジュールによれば、ロールアップは一定の間隔でリリースされます。各ロールアップには、前回のロールアップ以降に製品内で見つかった脆弱性に対する修正プログラムが含まれています。さらに、各ロールアップに以前にリリースしたすべての修正プログラムを含めることの実現可能性を調査しています。実際、累積的なロールアップを作成することが可能であれば、顧客は最新のロールアップをインストールするだけで、製品に関する既知のすべての脆弱性を保護できることになります。

ロールアップの出現は重要な変化ですが、変わらない部分が多くあります。たとえば、特に深刻な脆弱性が見つかった場合、それがロールアップの適用対象の製品であっても、その脆弱性のみを解決するために修正プログラムを直ちにリリースし、そして次のロールアップにその修正プログラムを取り込みます。同様に、ロールアップによって提供した修正プログラムのすべてが、次のサービスパックに取り込まれます。最終的に、修正プログラムの場合と同様に、ロールアップは、Microsoft ダウンロード センターWindowsUpdate サイトの両方から入手できるようになる予定です。

セキュリティ情報に関する改善

セキュリティ情報とメール機能の変更予定については、既に確認されている方もいると思います。全体的な目標は、専門知識の有無にかかわらず、読者に使いやすくすること、顧客が要求している追加情報を提供すること、顧客に常に最新情報を提供することを保証することです。我々は、来年の早い時期に新しい形式に移行する予定ですが、顧客からのフィードバックを参考にしながら、引き続き良いものに変更していきます。

我々はまた、Pocket PC を使用して顧客に新しいサービスを提供する計画があります。どなたでも登録可能な Web サイトに Mobile Security Page を設置することを計画しています。セキュリティ情報をリリースするたびに、Mobile Security Page に問題の概要が掲載されます。このような方式により、サービス契約者は、どこからでも新しいセキュリティ情報を得ることができます。

脆弱性と修正プログラムに関する情報の改善

セキュリティ 修正プログラムに関する情報をより簡単に検索して使用できるような方法が必要であるとの意見が、顧客側からありました。我々はこの要求に対応するために、修正プログラムおよびセキュリティ情報に関する主な詳細項目のすべてを含む TechNet セキュリティ センター Web サイトに XML データベースを配置する計画を立てています。主な詳細項目には、セキュリティ情報の番号や影響される製品、サービスパックによってインストールされる修正プログラム、修正プログラム内にあるすべてのファイルの MD 5 ハッシュ値のリストなどを入れる予定です。

データベースを配置することにより、セキュリティ修正プログラムの管理を容易にするツールの開発が可能になります。最近リリースされた IIS 5.0 修正プログラム チェック ツール では、このテクノロジで何が行えるかを一見することができ、好評です。新しい XML データベースを配置すれば、より高度なツールを開発することができるようになります。今後、さまざまな検索基準を使用して特定のセキュリティ情報を検索したり、システムをチェックして修正プログラムの日付が最新のものかどうかを確認することができるようなツールを提供します。非常に高度な機能を提供する大きなプロジェクトも進めています。さらに、サード パーティが追加のツールを作成できるよう、データベース スキーマを公開する予定です。

地域サポートの向上

マイクロソフトは幸運にも世界中に数百万人という顧客を抱えています。したがって、セキュリティ 修正プログラムのローカライズ バージョンをできるだけ速く提供することが重要となります。我々は完全なリエンジニアリング作業の最中です。この努力により、我々は複数のローカライズ 修正プログラムを英語版修正プログラムと同時にリリースすると共に、すべてのローカライズ 修正プログラムがリリースされるまでの期間を大幅に短縮することができます。我々はまた、Web サイト上でローカライズされた修正プログラムをさらに容易に検索するための手段を提供し、ローカライズ バージョンが必要かどうかを明らかにする情報をセキュリティ情報に掲載します。

 

次の課題

前述のように、これらの改良点は第 3 の波への第 1 のステップにすぎません。したがって我々はプロセスのさらなる改善を図ることが可能であり、それを実施します。長い目で見れば、マイクロソフトの .Net ビジョンにより、顧客がシステムの安全を守る能力を飛躍的に向上させる機会を提供できると信じています。同じテクノロジによって、顧客は、そのシステムに新しいサービスや機能を継続的に追加することができます。その結果、顧客は最新のセキュリティの脅威からシステムを確実に守ることができます。

読者の皆さんのご意見をお聞きかせください。セキュリティ対応プロセスに対して我々にできる改善のご要望があれば、secfdbck@microsoft.com (英語) までお送りください。ご意見をお待ちしております。

Scott Culp は Microsoft Security Response Center のセキュリティ プログラム マネージャです。