前回の記事
ベンダー各社は、迅速な修正プログラム(パッチ)提供にも力を入れている。新しい脆弱性が報告されればすぐに解析し、脆弱性を修正するためのパッチや修正版(アップデート)を作成して公開する。大手ベンダーの多くは、そのためのセキュリティ専門チームを用意している。
だが、ベンダーがパッチを用意するだけでは不十分だ。ユーザーが適用しなければ意味がない。そこでベンダーによっては、自動的にパッチを適用する機能をソフトウエアに実装している。
バックグラウンドで適用
パソコンにインストールされているソフトウエアは、定期的にベンダーのサーバーにアクセスし、パッチの有無をチェックする(図5-1(1))。新しいパッチが用意されている場合には、ユーザーのネット利用を妨げないように、バックグラウンドで少しずつダウンロードする(同(2))。そして、パッチのダウンロードが完了したらインストールする(同(3))。ソフトウエアによっては、インストール時刻を設定できたり、インストール前にユーザーに許可を求めたりする。
図5-1●パッチを自動的に適用する仕組みの例
ソフトウエアの中には、脆弱性を修正するパッチやアップデートを自動的に適用する仕組みを備えるものがある。ソフトウエアはベンダーのサーバーに定期的にアクセスし、パッチなどが用意されたら、通常の通信を邪魔しないようにダウンロードする。そして、ユーザーが設定したタイミングなどで適用(インストール)する。
[画像のクリックで拡大表示]
例えばマイクロソフトは、同社製品のパッチを自動的に適用する自動更新機能を2002年に実装している。現在では、米アドビシステムズのAdobe Reader(アドビ リーダー)やFlash Player(フラッシュ プレーヤー)、米オラクルのJava(ジャバ)(JRE)、米グーグルのChrome(クローム)、モジラ財団のFirefox(ファイアフォックス)など、広く使われているソフトウエアの多くが、同様の機能を備えている。
