|
マイクロソフトアジアリミテッド セキュリティレスポンスチーム マネージャ 奥天陽司氏
|
幕張メッセで開催されているCEATEC Japan 2003で10月9日、「Microsoft Windows セキュリティ・ホール対策」と題し、マイクロソフトアジアリミテッド セキュリティレスポンスチーム マネージャの奥天陽司氏が講演を行った。
同氏がまずあげたのは、セキュリティ対策を的確に行うのはとても難しいという点だ。セキュリティ対策が遅れてしまうのは、「十分な対応をしても、マイナスの状態をイーブンに持ってくるだけなのでメリットが見えにくい」という特性があるためとし、組織だった対応を行って、こうした状態を脱しなくてはならないとした。
組織で対応を行う場合、セキュリティ対策には費用や決定権の問題もかかわってくるので、上層部の理解が必要なのはいうまでもない。しかし「何よりも必要なのは、企業内の一人ひとりの意識を底上げすること。持ち込まれたノートPC1台からブラスターが社内にはびこってしまうことがあったように、技術者だけで対策を行って間に合うものではない」(奥天氏)と強調する。
■ セキュリティ対策の3ステップ
では、どのように取り組んでいけばいいのだろうか。セキュリティ対策のステップとして、奥天氏は3つをあげた。1つ目が、「運用ルールを作ること」。「IEを使わないことでセキュリティが守れるのなら、それも1つのルール」と述べ、特定のルールを作ることで、PC使用者のモラル向上を図るのがこのステップの狙いとする。
2つ目のステップが「システムの管理・制限」。ファイル共有やサービス利用のアクセスを管理したり、Proxyでのアクセス認証・制限などを行ったりすることで、人的ミスを防止して、確実に対処すること、即時に対応ができるようにするなどがこのステップの目的。
3つ目は、脆弱性の対策である。企業内でルールを作ってしっかりと運用していても、セキュリティホールはそれを飛び越えてしまう。マイクロソフト側でも「減らすように努力はしているが、ゼロにはできないのが現状」のため、セキュリティホールの対応は不可欠なのである。そして、この3つのステップを循環させ、運用していくことで、はじめてセキュリティ対策が実現できるという。
■ 脆弱性対応の要は「情報の入手」
|
Microsoft Software Update Servicesの概念図
|
脆弱性の対応としては、情報を入手し、モデル環境でパッチ適用後の動作をテストし、社内にパッチを配布して適用させ、配布後の監視をするという手順になる。
奥天氏は「この中でとても大事なのは、脆弱性を知ることだ」と語る。知らなくては対処できないのだから当然のことではあるが、まだまだユーザーに情報が行き渡っていないのが現状だという。「マイクロソフトでは、情報を隠すことなく、Webをはじめさまざまな手段で公開している。特に、メールによる情報配信サービス(無料)はぜひとも利用をしてほしい。当社の情報は内容が難しいという意見もあるが、今後は改善していきたい」と語り、「知ること」の重要さを強調していた。
さて、実際にセキュリティホールをなくすためには、修正パッチを適用することになる。個々でWindows Updateを行うことも一つの手段だが、奥天氏はMicrosoft Software Update Services(SUS)を紹介した。SUSは自社内にWindows Updateのサーバーをを持ってくるようなイメージの製品で、Windows 2000 Serverなどで使用できる無料のアドオンプログラム。Windows 9x系に対応しないなど制限もあるものの、あらかじめクライアントに自動更新モジュールをインストールしておけば、必要な修正プログラムが自動的に適用される。マイクロソフトが提供するMBSA(Microsft Baseline Security Analyzer)を利用すれば、パッチ適用の有無を調べることもできるので、奥天氏は併せての利用を推奨していた。
最後に奥天氏は「マイクロソフトとしても、今後も力を入れてこの問題には取り組んでいく」と述べ、講演を締めくくった。
■ URL
CEATEC Japan 2003
http://www.ceatec.com/
マイクロソフト株式会社
http://www.microsoft.com/japan/
Microsoft セキュリティ
http://www.microsoft.com/japan/security/
関連記事:マイクロソフト、LAN上でパッチをダウンロードできるソフトを提供開始(Internet Watch)
http://internet.watch.impress.co.jp/www/article/2002/0625/sus.htm
( 石井 一志 )
2003/10/09 19:12
|