「更新プログラムは品質を最優先」「月一回の公開は評判がよい」---。米MicrosoftのMichael Nash氏は10月4日,IT Proの取材に対して,同社が公開しているセキュリティ情報(Security Bulletin)や更新プログラム(修正パッチ)の現状などについて語った(聞き手はIT Pro編集 勝村幸博)。
Nash氏は,同社Security Technology UnitのCorporate Vice President。同社のセキュリティ最高責任者の一人である。「SECURITY SUMMIT 2005 Fall」の講演などのために来日している(関連記事)。
---セキュリティ・ベンダーなどからMicrosoft製品の脆弱性が次々報告されているが,更新プログラムの提供は追いついていないように思える。これについてどのように考えているか。
更新プログラムについては,品質を最優先にしている。あらゆるプラットフォームに対して満足いく品質のものを提供することを第一としている。一つの脆弱性に対して複数の更新プログラムを提供するような事態を避けたいからだ。そのようなことを繰り返すと,ユーザーの信頼感が薄れて,更新プログラムを適用してもらえなくなってしまう。このため更新プログラムを作成しても,品質上の“ゴール”を満たしていない場合には公開しない。
多くのセキュリティ・ベンダーやコミュニティなどは,Microsoftに脆弱性情報を報告してくれている。その多くは“責任ある情報公開”を実施して,更新プログラムの公開前に脆弱性の詳細を公表することはない。このため,更新プログラムが未公開の脆弱性を悪用される危険性は小さい。
ただし,悪用された場合でも被害を抑えられるように,Microsoftではベスト・プラクティスの実践を勧めている。具体的には,「ファイアウオール」「自動更新」「ウイルス対策ソフト」---の活用である。
---セキュリティ情報(Security Bulletin)を毎月1回公開するようになってから1年が経過する(関連記事)。頻度などを変更する予定はあるか。
どれぐらいの頻度で公表するのがユーザーにとって最適なのかは難しい問題だ。時間を空け過ぎると,情報がタイムリーではなくなる。かといって,あまり頻繁ではユーザーが対応しきれない。両者のバランスを取ることが重要だ。
Microsoftでは,以前は更新プログラムが完成次第公開していた。その後,ユーザーが予測しやすいように毎週水曜日に公開するようにした。だが,ユーザーからは「週1回では頻繁過ぎて対応できない」とのフィードバックが寄せられた。そこで,現在のような月1回にした。
社内では頻度の変更について検討されたが,ユーザーからのフィードバックは良好だったので,現状維持ということでまとまった。月1回というのは“タイムリーさ”と“適用のしやすさ”の両方を満たしているようだ。実際,他のベンダーの中には“月1回公開”を真似ているところがある。
---Microsoftでは,セキュリティ情報やセキュリティ・ガイダンスに関するWebcastを定期的に実施している。現状では英語での提供だが,日本語のWebcastを提供する予定はあるか。
Webcastのローカライズについて検討はしている。セキュリティ・ガイダンスに関するWebcastについては未定だが,セキュリティ情報に関する日本語版Webcastは今年の秋から提供する予定である。
