「また『緊急』のホールか。そういえば,この前の『緊急』もまだ対応してなかったな。まぁ,そのうちまとめて対応するか」――
こんな風にお感じの読者も多いだろう。マイクロソフトからは深刻度が最悪である「緊急」のセキュリティ・ホールが相次いで公開されている。2003年に入り,現在までに10件のセキュリティ・ホールが公開されているが,そのうち5件が「緊急」である。次々に公開される「緊急」のセキュリティ・ホールに,即座に対応できれば問題はない。しかしその余裕がなければ,緊急の中でもより深刻なセキュリティ・ホールを優先して対応しなければならない。
これだけ「緊急」が“連発”されると,ついマヒしてしまって,セキュリティ・ホールの詳細を調べることなく,「公開された順に対応していけばいいや」と考えがちだ。しかし,先日公開されたWindows 2000のセキュリティ・ホール(関連記事)のように,たとえ未対応のセキュリティ・ホールがほかにあっても,まず第一に対応すべき深刻なセキュリティ・ホールも公開される。システム管理者としては,マヒすることなくセキュリティ・ホールの深刻度を見極め,適切に対応する必要がある。
もちろん,容易な作業ではないことは分かっている。IT Proとしても,少しでも“見極め”の助けになるような情報を提供していきたい。そしてベンダーには,当然のことではあるが,製品の品質向上に努めてもらいたい。ユーザーは機能の拡張よりも,製品の品質向上を求めているのである。
ソフトウエアである以上,ある程度セキュリティ・ホールが見つかるのは仕方がない。しかし,「緊急」のセキュリティ・ホールがこれだけ続出してはたまらない。パッチを公開することはベンダーの義務だが,パッチを公開したからと言ってユーザーに対する責任を果たしたことにはならないのである。
セキュリティ・ホールの緊急性をあらわす「深刻度」
セキュリティ・ホールとは,プログラムに存在する,セキュリティ上の問題を引き起こすバグである。引き起こす問題の大きさや,問題を引き起こす可能性はセキュリティ・ホールによって異なるが,セキュリティ・ホールである以上,影響を受けるシステムにおいては,必ず対策を施さなければならない。
具体的には,(1)ベンダーが提供する修正プログラム(パッチ)を適用する,(2)セキュリティ・ホールを修正したバージョンにアップグレードする,(3)そのプログラム(製品)の使用を止める――などが対策となる。
とはいえ,新しいセキュリティ・ホールは次から次へと見つかる。そのたびに,すぐにアップグレードしたり,別製品に乗り換えたりするのは容易ではない。特に,自分のマシンだけではなく,現在稼働中のサーバーや,他のユーザーのマシンに対策を施さなければならない管理者の苦労は察してあまりある。
そこでセキュリティ組織やベンダーは,「今回見つかったセキュリティ・ホールは,どのぐらい急いで対策を施さなければいけないのか」を示す指標として「深刻度」を設定してユーザーに知らせている。セキュリティ・ホールを悪用する攻撃を受ける可能性が高ければ高いほど,攻撃を受けた場合の被害が大きければ大きいほど深刻度は高くなる。
例えば,米国のセキュリティ組織である「SANS Institute」は,「Critical」「High」「Moderate」「Low」――の4段階の深刻度を用意して,ソフトウエア製品に見つかったセキュリティ・ホールをいずれかに分類している。そして,「Critical」については48時間以内に,「High」については5日(5 business days)以内に,「Moderate」については15日(15 business days)以内に,「Low」については管理者の判断(at the administrator's discretion)で――対応するよう勧めている。
マイクロソフトも,同社が公開するセキュリティ・ホールに,2001年10月から「高」「中」「小」の深刻度を設定するようにした。「セキュリティ・ホールそれぞれの深刻さが分かりにくい」とのユーザーの声に応えるためである。それまでは,同社が公開するセキュリティ情報を読み解いて,ユーザー自身が判断する必要があった。
マイクロソフトがセキュリティ・ホールごとに深刻度を設定するようになったので,ユーザーにとって判断材料が増えた。しかし,それも最初だけだった。「高」のセキュリティ・ホールが続出したからだ。公開されるセキュリティ・ホールのほとんどが「高」であるために,そのすべてに即座に対応することが困難になった。「同じ『高』のセキュリティ・ホールの中で,どのセキュリティ・ホールを優先して対応しなければならないか」を,ユーザーが判断しなければならなくなったのだ。
深刻度が3段階から4段階に,しかし効果なし
そこで2002年11月18日,同社は「緊急(Critical)」「重要(Important)」「警告(Moderate)」「注意(Low)」――の4段階に変更した(かっこ内は米Microsoftの表記)。それまでの評価で「高」にあたるセキュリティ・ホールの中で,特に深刻なものを「緊急」にするという。日本語表記では分かりにくいが,米Microsoftの表記では,「Moderate」と「Low」は変わっていない。つまり「High」を細分化して,より深刻なものを「Critical」,それ以外の「High」を「Important」にしたのだ。
しかし,状況は変わらなかった。「高」が「緊急」に置き換わっただけだった。今後,深刻度の段階を増やしたとしても,製品の品質が向上しないことには,状況はよくならない。もちろん「お前なんかに言われなくても,とっくにやってるよ」と関係者は言うだろう。製品の設計段階から意識しなければならないことなので,セキュアな製品が市場に出てくるまでには時間がかかることも分かる。
とはいえ,セキュリティの重要性が叫ばれ始めたのは,昨日今日の話ではない。そろそろセキュアな製品が出てきてもよさそうだ。そう遠くない将来,市場に登場することを期待する。管理者としては,“その日”が来るまでは,マヒすることなく,より深刻なセキュリティ・ホールを優先して対応していくほかない。
メディアとしては,ユーザーやベンダーに「きちんとしろ」や「対応しなければならない」などと,偉そうに言うだけではだめなことは十分認識している。セキュリティ・ホール対策の助けとなる情報を提供することが役割の一つだと考えている。
例えば,3月26日に公開した,「相次ぐ『緊急』にマヒするな,IISのホール は“過去最大級”の危険度」のように,「緊急」の中でも特に深刻なセキュリティ・ホールを,分かりやすく解説した記事を掲載していきたい。記事を読んだ方ならお分かりだろうが,同記事で解説したWindows 2000のセキュリティ・ホールは,「デフォルト設定で攻撃を受ける」「公開用Webサーバーではファイアウオールなどで防ぐことが難しい」「攻撃コードが存在している」――ことから,「“過去最大級”の危険度」である。
同記事はよく読まれるとともに,「参考になった」と評価してくれた読者も多かった。今後もこのような記事を掲載していき,「緊急」にマヒしそうなユーザーや管理者のお役に立てれば幸いである。
(勝村 幸博=IT Pro)
