米Microsoft Security Business and Technology UnitのSenior DirectorであるGeorge Stathakopoulos氏は3月16日,IT Proの取材に対して,「Microsoftは米国政府にWindowsのパッチを優先的に提供する」といった報道は誤りであると答えた。「修正パッチを検証してもらうプログラム(取り組み)を,『優先的に提供する』ことだと誤解したようだ」(Stathakopoulos氏)
Microsoftでは,リリース前のパッチを顧客やコンサルタントなどに検証してもらうプログラム「Security Update Validation Program」を2005年1月に開始した。これは「リリース予定のパッチを適用した場合に,各種アプリケーションに問題が出ないかどうかなどを調べてもらう技術的なプログラム。検証が完了したパッチを提供するわけではないし,(どのような脆弱性があるのかを示す)セキュリティ情報なども提供しない」(Stathakopoulos氏)
同プログラムに参加することは容易ではなさそうだ。「同プログラムに参加した場合には,(実際にパッチの検証をして)技術上のフィードバックが必要。フィードバックしてもらえない場合には,プログラムをやめてもらう」(Stathakopoulos氏)。秘密保持契約を結ぶ必要もある。
同氏によると,「Microsoftは米政府にWindowsのパッチを優先的に提供する」と報道したメディアは,Security Update Validation Programを「セキュリティ情報や検証が完了したパッチを優先的に提供するプログラム」だと誤解したのではないかという。
Security Update Validation Programの参加企業/組織は非公開なので同氏は明言を避けたが,「米政府のある組織/機関がSecurity Update Validation Programに参加している。そこでMicrosoftは,プログラムに従って検証してもらうためにその組織/機関へリリース前のパッチを提供する」ことを「米政府に(検証が完了した)パッチを事前に提供する」ことと勘違いしたと推測できる。
「セキュリティ情報や検証が完了したパッチといった『未公開の情報』を,公表前に第三者と共有することはない」(Stathakopoulos氏)
(勝村 幸博=IT Pro)
