マイクロソフトでは,Windowsなどのマイクロソフト製品について不具合が発見されると,それを修正するための更新プログラム,いわゆるパッチが提供されています。
月に一度定期的にパッチを公開
このセキュリティ更新プログラムは月に1回,米国時間で毎月第2火曜日(日本では時差の関係で翌水曜日)に過去1カ月分をまとめて提供しています(図1[拡大表示])。これまでに提供されたセキュリティ更新プログラムの情報は,マイクロソフトの「Microsoftセキュリティ情報検索*」というWebサイトで検索できます。
セキュリティ更新プログラムが,現在のように定期的に提供されるようになったのは2003年10月からです。それまでは,ぜい弱性が発見されるたびにセキュリティ更新プログラムが公開されていました。場合によっては毎日のように更新プログラムが公開されることがあり,作業の負担が大きいと多くのユーザーに不評でした。
特に企業ユーザーでは,たとえセキュリティ更新プログラムでも,問題がないことを事前に検証してから適用するのが一般的です。もしサーバーや各ユーザーのパソコンに更新プログラムを適用して,それまで正常に使えていたサービスに異常が発生すると業務に重大な支障が出るからです。
更新プログラムが頻繁に公開されると,企業の管理者は評価中に改めて新しい更新プログラムを適用した環境を評価し直さなければならなくなります。結果的に,更新プログラムをなかなか適用しない(できない)ユーザーが多くなり,ウイルスが広まるケースが多く見られました。
マイクロソフトはこういった事態を反省し,更新プログラムを頻繁に公開することを避け,定期的に公開する方法に切り替えました。これによって,セキュリティ担当者やサーバー管理者は,あらかじめ体制を整えるなど,余裕を持った対処が可能になります。
ちなみに,最新の5月分の定期更新では,5月10日に新しい更新プログラムが公開されました。今後も,6月14日,7月12日,8月9日に新しい更新プログラムが公開される予定です(新しい更新プログラムが存在しない場合もあります)。
ただし,例外があります。深刻な問題を引き起こす可能性がある重大な弱点が発見された場合は,次回の公開予定日を待たずにセキュリティ更新プログラムが公開されることになっています。実際,過去に何度か定期更新日ではない日に公開されたことがあります。
メールでの情報配信を実施
更新プログラムの情報は「プロダクト・セキュリティ警告サービス*」や「セキュリティ・ニュースレター*」というニューズレターを購読すれば,電子メールで入手できます。
プロダクト・セキュリティ警告サービスは,セキュリティ情報が正式に公開される3営業日前に配信されます。次回の公開を予定している更新プログラムについて短いサマリーでわかりやすく通知しています。セキュリティの詳細情報を必要としない一般ユーザー向けと言えます。
一方,セキュリティ・ニュースレターはIT技術者向けと位置づけられており,サーバー管理者のように企業内である程度責任のある立場のユーザーに役立つ情報が提供されます。こちらは単なるセキュリティ情報だけでなく,コラムやイベント情報,関連サイトへのリンクも含まれており,毎月第4水曜日に配信されます。
どちらのメール配信サービスも無料です。現在IT技術を担当している人だけでなく,セキュリティ技術に興味があるユーザーにもお勧めです。
個別以外に一括適用も可能
公開された更新プログラムは,前述のMicrosoftセキュリティ情報検索やダウンロード・センター*といったWebサイトから個別にダウンロードできます。そのほかに,Windows Update(ウインドウズアップデート)*や自動更新*を使っても適用可能です。ただし,Windows Updateや自動更新での公開は,自動化やパッチ間の依存関係が検証されたあとになるため,ダウンロード・センターでの公開から最大で数週間ほど遅れることがあります。
通常は,安全に適用できることが確認されたWindows Updateや自動更新を利用することをお勧めします。ただし,すでにウイルスがまん延しているなど,社内事情などでどうしても緊急に適用する場合は,ダウンロード・センターから入手した個別パッチを適用するとよいでしょう。
|
●筆者:山内 徹(やまうち とおる) NECソフト ICTシステム事業部 Windows Solution Center |
