マイクロソフトは、同社のセキュリティへの取り組みを企業ユーザーに説明する「セキュリティサミット2004」を開催した。執行役 最高セキュリティ責任者の東貴彦氏、執行役 最高技術責任者・古川享氏(米Microsoftバイスプレジデント)が登壇、「多層防御」という考え方について解説した。その中で、今年上半期に登場予定のWindows XP Service Pack 2(SP2)やSoftware Update Services(SUS) 2.0の画面が国内で初公開された。

セキュリティを多段階で防御する「多層防御」

最初に登場した東氏は、昨年8月に登場したBlasterワームで多くの教訓を学んだと語る。それは従来のセキュリティ対策である「ファイアウォール・ウイルス対策の使用」が十分な効果を得られなかった、という点だ。9割以上の企業がファイアウォール・ウイルス対策ソフトを導入していたが、外部から持ち込まれたノートPCやRAS接続のPC経由で感染が広がった例を挙げ、「従来、サーバへの対策を中心としていたが、実際はクライアントPCが感染の入り口となった」(東氏)。

そのクライアントPCに対しては、脆弱性に対するパッチが数多くリリースされてはいたものの、それがユーザーにうまく伝わっていなかったことを反省点としつつ、セキュリティを取り巻く環境の変化についても言及。(1)パッチの適用作業の負荷が増大している(2)脆弱性を公開してから、攻撃コードが登場してくるまでの時間が非常に短くなり、攻撃側の技術革新が進んだ(3)攻撃手法が巧妙になった--という3点を挙げ、パッチ適用が十分に行われない原因となっている、と言う。

多層防御

ファイアウォールとウイルス対策ソフトでの防御には限界があり、パッチを提供しつつも「環境の変化や脅威を認識していなかった」(東氏)ことから、同社は現在、「多層防御」(Defense-in-depth)という考え方を提案している。

これは、たとえばデータに対しては暗号化を施し、アプリケーションではウイルス対策やユーザー認証、ホストでは更新プログラム管理や侵入検知を、といったような対策を行い、さらに物理セキュリティとして警備員の配置や施錠、セキュリティポリシーの策定、といったようにさまざまな層でセキュリティ対策を施し、1つの層の対策は、その前の対策が破られたことを前提として構築、多角的、多層的な防御を行う、というものだ。

こうした観点からの同社の取り組みの一つが、「セキュアシステムトレーニングツアー2004」だ。3月9日から、全国各地で300回以上開催される無償のトレーニングプログラムで、システム管理者、開発者向けに、セキュリティ対策やセキュアコードの記述法などを解説する。6月まで、計3万席を用意するそうだ。

セキュリティ対策の問題 - 経済産業省の場合

東氏の講演の中でゲストスピーカーとして登場したのが、経済産業省情報システム厚生課長・小紫正樹氏。小紫氏は、現在全体で7,000台のクライアントPC、500台のサーバ、50の拠点を管理するシステム管理者として、セキュリティ確保に対する苦労を語った。同省は、クライアントPCはWindows OSがメインで、サーバでも過半数がWindows OSとなっているという。各地の拠点では細い回線を利用している場合もあり、パッチ適用には苦労しているのだそうだ。特に昨夏のBlasterワーム騒ぎの時は、省内のシステム更新と時期が重なってパッチが当てられず、ファイアウォールだけで乗り切るという「冷や汗が出るような状況だった」(小紫氏)。

また現在は表計算ソフトのシートの行に7,000台のPCの番号と使用者、列にはパッチの番号を記載し、どのマシンにどのパッチが当たっているか否かを管理しているのだという。こうして管理していると、パッチがすべて当たっていないマシンが相当数あり、しかもそれに対してすべてのパッチを適用しようとすると相当の苦労とコストがかかる、と指摘する。

同様に、セキュリティを強化していくと使い勝手が悪くなる、という問題も存在。たとえば同省では20分間PCを利用しない場合、スクリーンセーバーが起動、PCにロックがかかるようになっているほか、Cドライブにアクセス権を設定して勝手にソフトをインストールできないようにしたり、許可されていないノートPCなどをLANにつなぐことができないようにしており、こうしたセキュリティ設定を行った直後はクレームが殺到したのだという。

また先日NetSkyワームが流行した際、ゲートウェイのウイルス対策ソフトの更新ファイルがまだリリースされていない数時間の間に、2,000通程度のウイルス添付メールが省内に入ってきてしまったそうだ。その時は省内の人間に対して添付ファイルを実行しないよう通知を出したが、数十人が添付ファイルを実行してしまい、しかも感染したことを報告してくれないユーザーもいたという。

こうしたことは、エンドユーザーの意識改革が必要と言える点だ。昨年、同省では全職員に対してセキュリティ研修を実施。セキュリティ意識の向上を図っているという。また、「役所」という立場上、外部のセキュリティ専門家を雇えず、通常2～3年で異動してしまう人事の関係から、人材育成も大きな課題だという。

なお、同省の現在のセキュリティポリシーは、サーバOSは外部公開用としてはWindows OSを利用しない、インターネットとのゲートウェイは1カ所にする、24時間の監視を行う、ユーザーのアクセス権は極力制限する、Outlookは使わない、無線LANは使わない、サーバログはすべて記録しDVDに書き込んで4年間保存する、サイトで利用するCGIは機能を限定したものだけを利用する、60数ファイルの個人情報が記録されたファイルは別の管理体系で管理する、といったものだそうだ。

マイクロソフトの改善策

経産省の実例やユーザーからの指摘から浮かび上がったパッチの適用をはじめとするセキュリティ確保への問題について、同社では積極的な改善策を実施してきている。すでに実施されている施策では、製品サポート期間の延長、パッチの月次リリース、Microsoft Baseline Security Analyzer(MBSA) 1.2の提供といったものが挙げられる。2004年上半期にはさらに、Windows XP SP2/SUS 2.0/Microsoft Updateの提供、パッチの改善、といった施策を実施する予定だ。

パッチの改善は顧客の声に応える形で実施

パッチの改善は、「品質が低く、適用プロセスに一貫性がない」というユーザーからの声に応えるものだ。(1)8種類あったパッチのインストール方法を2種類に統合(2)パッチ適用時の問題を回避するための検証期間を短くできるように、パッチ適用前の状況に戻す「ロールバック機能」の実装(3)パッチ容量を削減、差分パッチ技術を導入する(4)従来のパッチの多くが再起動を要求していたが、これを削減する--といった改善を、今後順次導入していくという。

またパッチ適用を管理するために用意されたMBSAやSUS、Systems Management Server(SMS)といったツールも提供。パッチの改善とあわせてシステム管理者やエンドユーザーのコストと労力を削減することを狙っていく。

現在同社の開発ではSD3+Cが重視されている	S3+Cが採用された初めての製品Windows Server 2003ではセキュリティ情報が少なくなった

本邦初公開のWindows XP SP2とSUS 2.0

6月までのリリース、とされている同社のセキュリティ対策の一環が、Windows XP SP2とSUS 2.0だ。この2つにより、クライアントPCのセキュリティ向上、パッチ管理・運用の簡易化を狙う。

Windows XP SP2は、特にファイアウォール機能が大幅に向上する。従来Windows XPで「インターネット接続ファイアウォール」とされていた機能は、SP2からは「Windowsファイアウォール」へと名称変更され、デフォルトではオンになる。これはあるアプリケーションがネットワークに接続しようとすると、そのアプリケーションが接続していいかどうかをユーザーに問いかけ、許可した場合に初めてポートを開放する、という機能だ。使用ポート番号やIPアドレスなど難しい表現は使わず、アプリケーション名だけで接続の可否を選択させるほか、そのアプリケーションが終了すると再びポートをふさぐようになっている。社内でActive Directoryが利用されていれば、そのグループポリシーから通信を許可するアプリケーションを一元的に設定することもできる。

Windowsファイアウォール

もう1つのSP2の新機能が「セキュリティセンター」だ。これはクライアントPCをリアルタイムに監視し、セキュリティ上の問題がないかをチェックする機能で、ウイルス対策ソフトが停止していたり、ファイアウォール機能がオフになっていたりすると警告を発してくれる。

セキュリティセンター

SUS 2.0の画面

SUSは、システム管理者がパッチを一括してクライアントPCに容易に適用できるようにするための無償ツールで、この上半期に登場予定のSUS 2.0では、4つの新機能を追加した。現行のWindows Updateが、SQL Server/Exchange Serverに対応、Office Updateとも統合されて「Microsoft Update」となるため、それぞれの製品やパッチ、重要度別などに分けて管理できるようになり、ユーザーインタフェースも大幅に向上した。また、パッチの適用先をグループ化できるようになり、たとえば「人事課のWindows 2000利用マシンにだけこのパッチを適用する」といった柔軟な運用が可能になる。パッチがどのマシンに適用されているか、などのレポート機能も追加された。

今後のセキュリティロードマップ

今後のセキュリティロードマップ

さらに古川氏が同社の今後のセキュリティに関するロードマップを説明。まず、今年下半期にはWindows Server 2003 Service Pack 1とISA Server 2004をリリースする。そしてそれ以降については、「Exchange Perimeter Services」のリリース、次世代の検疫技術の採用、「NGSCB」(Next-Generation Secure Computing Base)によるセキュリティ強化、といった施策が予定されている。

最後に東氏が、同社が推進するTrustworthy Computing実現のため、今後も随時さまざまな方策を実施、それに対してユーザーも(1)無償トレーニングコースの受講(2)セキュリティツールの評価と導入(3)ガイダンスの入手(4)セキュリティ警告サービスの購読(5)Windows XP SP2、SUS 2.0の評価の準備--という各項目を行うことを要請した。