米マイクロソフト(MS)は米国時間2015年1月8日、同社が毎月公開しているセキュリティ情報とセキュリティ更新プログラム(パッチ)の事前通知を終了した(画面1)。今後は、プレミアサポートを契約している企業以外は、どの製品にどのようなパッチが公開されるのかといった情報は、事前には一切分からなくなる。事前通知を参考にしていた企業は、パッチの適用体制などを見直す必要がある。
「信頼できるコンピューティング環境」を推進
同社は米国時間第2火曜日(日本では第2火曜日の翌日)、同社製品のセキュリティ情報とパッチを定期的に公開している。その3営業日前(日本では前週の金曜日)には、公開予定のセキュリティ情報の概要を、メールサービスやWebサイトで提供してきた。企業のセキュリティ担当者などがパッチの適用スケジュールを立てやすくするためだ。
パッチの事前通知を実施しているベンダーは他にもあるものの、マイクロソフトが提供する情報は、他のベンダーと比べて豊富で分かりやすかった。とはいえ、一朝一夕で実現されたわけではない。
2001年ごろまで、マイクロソフト製品はセキュリティに関して評判が悪かった。脆弱性が相次いで見つかり、品質が不十分なパッチも少なくなかった。「Code Red」や「Nimda」といった、同社製品の脆弱性を突いて感染を広げるウイルス(マルウエア)も続出し、大きな被害をもたらしていた。
そこで2002年、ビル・ゲイツ氏は「Trustworthy Computing(信頼できるコンピューティング環境)」を提唱。例えば、セキュリティを重視したソフトウエア開発手順「SDL(Security Development Lifecycle)」を導入し、製品の「要求仕様」「設計」「実装(コーディング)」「検証」「リリース」「利用者からのレスポンス」といった全ての工程においてセキュリティを考慮するようにした。
パッチの提供方法も改善した。セキュリティ担当者の負担軽減を目的に、2003年11月以降、米国時間第2火曜日にまとめて公開するようにした(関連記事)。それまでは、頻繁に公開される場合には1週間に1回、主に米国時間の水曜日に公開していた。だが、「週1回では頻繁過ぎて検証や適用ができない」とのフィードバックが利用者から寄せられ、月1回に変更したという(関連記事)。
