マイクロソフトは2002年4月16日,同社のセキュリティへの取り組みについての説明会を開き,今後の活動について発表した。基本的な考え方は2001年10月に発表した「Security Technology Protection Program(STPP)」と変わらない。同社は,その考え方に沿った活動を,今後も引き続き強化していくことを強調した。
具体的な取り組みとしては,まず2002年4月末または連休明けに「セキュリティ・スクエア」と呼ぶポータル・サイトを開設する。主に初心者を対象としたサイトで,セキュリティを確保するために何をしたらよいのかといった基本的な対策方法の解説,WWWサーバーやファイル・サーバーを安全に設定したいといった目的別の設定方法などを紹介する予定である。
また,2002年夏までに,(1)Windows 2000 Service Pack 3(SP3),(2)Microsoft Baseline Security Analyzer(MBSA),(3)Windows Software Update Services(SUS),(4)Systems Management Server 2.0(SMS) Value Pack---の4つのツールやパッチを提供する。
(1)は,Windows 2000で提供されたこれまでの修正モジュールをひとまとめにしたもの。SP2以降に提供されたSRP(Security Rollup Package)1,SRP2として提供するはずだったもの,XPや.NET Serverで取り入れたセキュリティ上の見直しを,Windows 2000仕様を維持したまま取り入れたもの(Back Portと呼ぶ)---を含む。SRP2はSP3に含まれるため,SRP2そのものは提供しない予定。なお,SRPはこれまで隔月で提供するとしていたが,今後は別の周期での提供になるという。
(2)は,4月8日にバージョン1.0(英語版)が提供されたMBSAの,次のバージョンの日本語版だ。バージョン1.0は日本語環境では正常に動かないことがあるため,次のバージョンで日本語環境に対応する。MBSAは,パッチが適用されているかをコマンド・ベースでチェックする「HFNetChk」をベースにしている。パッチの適用状況に加えて,サーバーの設定がマイクロソフトが定めた“正しい設定”に沿っているか,などもチェックできる点と,GUIベースである点がHFNetChkと異なる。リモートのマシンもチェック可能だが,対象マシンの管理者権限が必要,Serverサービスが動いている必要がある,といった制限がある点は,HFNetChkと同じである。検査対象は,Windows NT 4.0/2000/XP,IIS 4/5,SQL Server 7.0/2000,IE 5.01以降(以上はHFNetChkと同じ)に加え,Office 2000/XP,Outlook 2000/XP。前述したようにMBSAバージョン1.0を日本語環境で使用すると検査結果が正しくないことがあるため,マイクロソフトは,今夏の日本語版が提供されるまではMBSAバージョン1.0ではなく,HFNetChkを利用するように勧めている。なお,日本語版ではユーザー・インタフェースも日本語化する予定である。
(3)は,STPPではFederated Corporate Windows Update Programという名前で提供するとしていたもので,Windows Updateと同じ機能を企業内に設置したサーバーで実現可能にする製品である。SUSでは米Microsoftのサーバーと同期をとることで,「重要な更新」ならびに「セキュリティの修正」で提供しているモジュールを自社のサーバーに複製,展開できる。ユーザーがWindows Updateを使うと,米Microsoftのサーバーではなく自社のサーバーにアクセスするので,トラフィックを削減できる。修正モジュールごとに「適用可」,「適用不可」といった区別をつけたり,事業所などの拠点ごとに複数のサーバーを設置してそこからダウンロードさせたりすることも可能である。詳細は未定だが,サーバー側の対応OSはWindows 2000/.NET Server。クライアント側の対応OSはWindows 2000/XP/.NET Serverで,別途モジュールが必要になる可能性がある。Windows98/Me/NT 4.0については,対応を検討中である。
(4)は,SMS 2.0に,セキュリティ対策を効率的に進める機能などをアドオンするツール。SMSのエージェントでHFNetChkを実行する,その結果をSMSのインベントリ情報として取り入れるといった機能を含む予定である。この機能を利用すれば,SMSを利用してパッチの適用情報を検査し,パッチを適用していないユーザーにパッチを強制インストールする,といった使い方が可能になるという。
