「特定の脆弱性を修正するプログラム(パッチ)は比較的すぐに作成できる。だが,同様の脆弱性が他の部分(製品)に存在するかどうかの調査や,修正プログラムの検証に時間がかかる。特に,検証はさまざまな環境で実施する必要があるので数週間かかってしまう」――。米MicrosoftのMicrosoft Security Response Center(MSRC)のDirectorであるKevin Kean氏は5月25日,IT Proの取材に対して,同社のセキュリティへの取り組みやパッチ作成の現状などを解説した(写真左)。

 Kean氏は,同社製品の脆弱性の報告を受けることから,修正プログラムの作成,検査ならびに検証,そして提供までのフローに関する責任者である。また,さまざまなセキュリティ機関/組織(例えば,CERT/CCやFIRST,ISCなど)やセキュリティ技術者とのコミュニケーションを担当する部門の責任者でもある。

 同氏によると,同社が用意する脆弱性情報の窓口「secure@microsot.com」に加え,さまざまなニュース・グループやWebサイト,メーリング・リストなどから同社製品の脆弱性情報を入手するという。

 情報を入手すると「リスクを評価して,対応のプライオリティを決定する」(Kean氏)。悪用されると危険なものほど,すぐに対応することになる。既に悪用されている脆弱性については,最優先で対応して,月例の公開日を待たずにセキュリティ情報やパッチを公開するという。「緊急に修正プログラムを公開した例は,過去に3度ある。いずれもInternet Explorer(IE)に関する脆弱性である」(Security Response Marketing & CommunicationsのDirectorであるDebby Fry Wilson氏,写真右)。Wilson氏は,メディアやユーザーなどにセキュリティ情報を提供するチームの責任者である。

 Kean氏によると,特定の脆弱性を修正するプログラム自体は,比較的早く作成できるという。ただし,「報告された脆弱性を含むコードと似たコードが他の部分や他の製品に存在しないかどうかを探すのに,ある程度時間を費やす」(同氏)という。

 さらに,「修正プログラムの品質を高めるのに時間がかかる」(Kean氏)。時間をかけて,検証ならびに改善するためだ。「対象とする製品や脆弱性によって,検証にかかる時間は異なる」(Wilson氏)としながらも,通常は数週間かかるという。「数%のユーザーしか影響を受けない問題でも,(同社製品の全ユーザー数は多いので)多数のユーザーが影響を受けることになる。それを防ぐには,あらゆる環境で検証することが重要となる」(Kean氏)

 また,同社では,脆弱性を製品に作り込まないような取り組みも実施している(関連記事)。そのおかげで,「リリース後2年間で,Windows Server 2003で報告された『緊急』あるいは『重要』の脆弱性は35件。Windows 2000 Serverの65件と比較すると,大きく減少している」(Kean氏)。「報告される脆弱性をすぐにゼロにすることは難しい。セキュアなコードを書くことは困難な仕事であるためだ。大きなチャレンジである。長い期間をかけて,改善していく必要がある」(Wilson氏)

(勝村 幸博=IT Pro)