マイクロソフトは4月16日,2002年夏にかけて予定しているセキュリティ関連パッチやツールのリリース計画を明らかにした。

 まず,リリースが遅れていたWindows 2000用のセキュリティ関連累積パッチ「Security Rollup Package(SRP)」の次期版SRP2をキャンセルし,2002年夏までに提供予定のサービス・パック次期版「Windows 2000 Service Pack 3(SP3)」に吸収する。2002年に入ってからMicrosoftはリリース前製品のセキュリティ確保のため,全社で製品開発を一時ストップし,ソース・コードを見直す作業「Security Push!」を実施した。この影響でSRP2の開発がずれ込み,SP3のリリース時期と接近しすぎてしまったための措置。

 今後のSRPのリリース間隔も見直す。当初,マイクロソフトはSRPを2カ月に1回程度リリースするとしていたが,運用の手間がかかりすぎることなどを考慮して頻度を落とすことにした。

 併せて,修正プログラムの自動検索/適用サイト「Windows Update」と同等のサービスをLAN環境などに構築するシステム「Microsoft Software Update Services(SUS)」も2002年夏までにリリースする。これは「Federated Corporate Windows Update Program」と呼んで開発を進めていたシステムである。Windows Updateに公開されている修正プログラムのうち「重要な更新」に含まれる項目とセキュリティ関連の修正について,適用するかどうかをシステム管理者が個別に選択できるようになる。SUSサーバーを複数設置して,配布元となるサーバーを分散化することもできる。

 さらに,セキュリティ・チェック・ツール「Microsoft Baseline Security Analyzer(MBSA)」も2002年夏までにリリースする。このツールを使うと,修正プログラムの適用状況やアプリケーション設定によるセキュリティ・ホールの有無をネットワーク経由でチェックできる。例えば,特定のドメインに属する全マシンを一括してチェックすることができる。

 既にマイクロソフトはHFNetChk(Network Security Hotfix Checker)と呼ぶセキュリティ・チェック・ツールを配布している。MBSAはこのHFNetChkにGUI(Graphical User Interface)を搭載し,アプリケーション設定のチェック機能を追加した強化版である。英語版MBSAは既にリリースしているが,日本語環境で正しく動作しないことがあるという。現在,多国語へ対応した新版MBSA 2.0を開発中で,日本語版もこのMBSA 2.0からリリースされる。

(斉藤 国博=日経Windowsプロ)