米Microsoftがパッチを月に1度の月例パッチ「Patch Tuesday」として提供するようになって,もう5年以上になる。この間に,同社のセキュリティに臨む姿勢とセキュリティ戦略の実施状況について,ユーザーやIT管理者,他ベンダーの見る目が大きく改善したように思う。セキュリティ・アップデートのリリースが定期的に行われるようになり,見通しが立てやすくなったことは,同社だけでなく,同社の顧客やIT業界全体にもよい効果を及ぼした。ただし,「Exchange Server」チームなどの特定製品チームが,このセキュリティ戦略の影響で難しい状況に陥ることもある。

 その事例として,2009年2月の第2週にリリースされた「Microsoft Exchange Server 2007 SP1 Update Rollup(ロールアップ)6」を紹介しよう。このExchange Server 2007用ロールアップ・パッケージは累積アップデートである。今回提供されたロールアップ6をインストールすると,これまでにリリースされたロールアップ1~5の修正パッチをすべて適用できる。ただし,同社の情報「Microsoft Exchange Server 2007 Service Pack 1 for 6の更新プログラムのロールアップについて」によると,ロールアップ6で新たに加わった修正項目はかなり少ない。

「緊急」のパッチだけに絞ってロールアップに追加

 これは「修正を要する新しいバグがExchange Serverに存在していなかった」ということを意味するのだろうか。必ずしもそういうことではない。緊急に修正しなければならないセキュリティ・ホールが存在していたため,修正パッチのリリース予定日に合わせて,テスト済みでリリース準備の整った修正パッチだけに絞って今回のロールアップに入れたのだ。Exchange Serverのコードに適用する修正パッチは,例外なく明確な開発/テスト・ルールにしたがってリリースする必要があり,どうしても処理に時間がかかる。

 セキュリティ・パッチの開発/テストに与えられる時間は十分とは言えない。Lawrence Walsh氏は「Is 'Patch Tuesday' Dead?」(「『Patch Tuesday』は死んだのか?」)と題する興味深い記事で「攻撃者はマイクロソフトから火曜日にパッチがリリースされるまで待ってから,Microsoftの実施した,もしくは実施しなかった修正を見極めている。火曜日のパッチ・リリースを待つ戦略は,この2~3カ月で起きた『Conficker』ワーム急拡大の要因である」と指摘している(関連記事:Windowsの脆弱性悪用ウイルスが900万台に感染、3割は中国のパソコンゼロデイの脅威を考える(パート3) いつ,どのように現れるのか)。

 2009年2月の定例アップデートにおいて,MicrosoftはExchange Serverに存在する今回のセキュリティ・ホールをセキュリティ情報「Microsoft Security Bulletin MS09-003」で深刻度「緊急」に分類した。攻撃者がこのセキュリティ・ホールを悪用すると,任意のサーバーでコードを遠隔実行できてしまうからだ。今回Exchange Serverチームは,ロールアップに入れる修正パッチを絞る,という適切な判断を下した。1件のセキュリティ・アップデートのせいでバグ修正がこれから1カ月間に何回も必要になるより,現時点で緊急のセキュリティ・ホールを1つ修正できた方がよい(関連記事:IEなどに危険な脆弱性、攻撃が出現する前にパッチ適用をマイクロソフトの2月定例アップデートは「緊急」2件,「重要」2件)。

 Exchange Serverといえば,Microsoftはオンライン・フォーラム「TechNet Forums」のなかに,Exchange Server用ソフトウエア・アップデートにかかわる問題などを話し合えるIT管理者向けコーナーを設けている。

 以下に最近のセキュリティ関連記事へのリンクを掲載しておく。

・「Microsoft releases four security bulletins. Two rated critical.」(Microsoftがセキュリティ情報4件を公開,内2件は「緊急」)
・「Microsoft Security Bulletins:Admin Rights Make Users Vulnerable」(関連記事:「管理者権限の制限がセキュリティ向上に効果的」--Microsoftのセキュリティ情報を分析
・「Data Leaks Abound And No One Is Safe」(データ流出が多発,誰もが被害者に)
・「Confick or Downadup Worm Can Be Squashed:By Common Sense」(「Confick」「Downadup」ワームは常識で対策可能)

 また,以下はExchange Server用アップデートに関する記事である。

・「Automatic Updates and Exchange Server」(自動アップデートと「Exchange Server」)
・「Exchange Server News:Rollup Roundup」(「Exchange Server」ニュース:ロールアップ特集)
・「How to Avoid Exchange 2007 SP1 Rollup Installation Problems 」(「Exchange 2007 SP1 Rollup」インストール時の問題回避方法)