延期づくしのMicrosoft製品

PaulThurrott

2004.07.29

（Paul Thurrott）

　いつもこのコラムを書こうとする前に，自分が今年書いた記事が入っているフォルダを開くと，あるテーマが増えているのにすぐ気がつく。大差をもってMicrosoftのセキュリティ関連の話題が今年の論説を独占している…自分はそう意図したわけではないのだが。私の他の多くの記事と同じく，どうしても最近の事件に左右される。2004年半ばの時点で，セキュリティは断然ナンバーワンのトピックだ。われわれはまさにそれから逃げられない。

影響大きいWUSのリリース延期
　一番新しいセキュリティ関連のニュースは，Microsoftが熱心に取り組んでいた「Windows Update Services（WUS）」つまり「Software Update Services（SUS）」の後継ソフトの出荷を，同社が2004年末から2005年の前半に延期したというものだ（既報）。私が最初にWUSについて書いたのは3月（既報，翻訳掲載は4月7日）で，ベータ版が何か示すにしても，その実装の詳細はその時以後変わっていない。

　しかし，WUSはWindows XP Service Pack 2（SP2）やほかの製品と同様に，Microsoftのパッチ・ダウンロードのインフラであるWindows Updateのアップデート「Windows Update 5」を待っている。Windows Update 5も今ベータ版の段階だが，少しずつダウンロードする技術「Background Intelligent Transfer Service（BITS）」のアップデートを含む，重要な変更がある。BITSは，SP2のような大規模アップデートを配布するのを支援するものだ。

　ではなぜ，MicrosoftはWUSのリリースを延期しなければならないのか？　Microsoftがわれわれに語ったところでは，XP SP2の新しい自動更新エージェントに対して，変更が加えられたことが原因だという。同社は以前にWUSのパブリック・ベータを今夏に出すという約束をしていたが，今回の遅れの影響で2004年末に延期している。このベータはMicrosoftが一般に配布するつもりのプレビュー・リリースであり，多分読者の大半が入手できる最初の機会のはずだ。Microsoftがそのベータ版ですらオンタイムに出せないということに少しがっかりさせられる。

　Microsoftの製品を使っている中小規模の事業者にとっては，このニュースはがっかりするどころの話ではない。今やこれまで以上に，デスクトップに対して重要なパッチを配布する自動的な手段を必要としている。すべての事業者が，Microsoftの大企業向けの製品である「Systems Management Server（SMS）」を導入するほど，資金や技術力を持っているわけではないのだ。

　つまり，SUSは短期間だけの制限されたソリューションとしてなら優れている。しかし，めったにアップデートされないその製品を，各事業者にもう1年待ってくれというのは問題である。SUSはWindowsのパッチしか配布しないが，WUSは様々なバージョンのMicrosoft Office，Exchange Server 2003，SQL Server 2000，Microsoft Data Engine（MSDE）のサポートも追加するのだから影響は大きい。

あれも延期，これも延期，みんな延期！
　最近遅れに直面しているMicrosoft製品はWUSだけではない。以下にMicrosoftが最近延期した製品を列挙しよう。

●XP SP2：本来は2003年遅くの予定だったが， SP2は手直しされて2004年前半リリースという予定に変更された。しかし，Microsoftはそれをまず7月まで，次に8月までと延期した（既報）。今のところ，SP2は8月の第2週当たりに出荷されるようだ。あなたがまだMicrosoftのWebサイトで入手できるSP2 Release Candidate 2（RC2）を評価していないのなら，今すぐ始めるよう強くお勧めする。SP2は数多くの変更点があるので，準備が必要だ。

●既知の様々なInternet Explorer（IE）の弱点：世界中で最も攻撃を受けたWebブラウザは，侵入者にとってはむき出しの標的であり，その場しのぎの設定変更をした最近のリリースは，最も顕著な問題を解決してくれない。いく人かの読者は，IEを永遠にWindowsから取り除けないから，サード・パーティのWebブラウザを入れても意味はないだろう，と指摘してきた。この考えは，完全には正しいものではない。単純にIEの使用をやめることは，Microsoft用語を使うのを許していただければ，あなたの「attack surface（攻撃される表面）」を減らすだろう。一方その読者の言う通りに，IEを隠していても，そのシステムに合った攻撃をダウンロードしてしまったら，何らかのIEベースの攻撃を受けるだろう。しかし，IEを隠すことはそれを使い続けるより安全で，もっとよいセキュリティへ続く道に沿った一歩でもある。そう，それは完全なソリューションというわけではない。

●Windows Server 2003 SP1：このリリースは魅力的な新しいロール・ベースの「セキュリティ設定ウィザード」を特徴とするが，大抵の他のWindows向け製品と同じく，2003 SP1はXP SP2の登場を待っている。SP2の製造段階リリース（RTM）後に，Microsoftは本来のWindows 2003 SP1の仕事に取り掛かれる。しかし，2004年後半リリースという期限はもはや非現実的だと思われる。2005年前半まではこの更新は出てこないと思うべきだ。（編集部注：その後，Microsoftは2003 SP1を2005年前半に延期したことを明らかにした）

●SQL Server 2005とVisual Studio（VS）2005：SQL ServerとVSの次期バージョンは様々な機能上の拡張を含む予定だが，一番目立った点はこれらの製品がどのくらい頻繁に延期されてきたかということだ。以前は「Yukon」という開発コード名だった「SQL Server 2005」はそもそも2003年末に出荷されるはずだった。ほぼ3年遅れで出荷されることになる。そしてSQL Serverの遅れで問題になったソフトウエア・アシュアランス（SA）に関する懸念についてはここでは論じるスペースがない。

●Longhorn：「LonghornがBlackcombまでの場つなぎのマイナー・リリース」だったころを覚えている人はどれくらいいるか？今日ではLonghornが「統合ソフト以外のすべて」みたいな方針になっている。これは，Longhornをかつて大々的にいわれた未来のWindows「Cairo」のようなものにしているように見える。そして，私はLonghornのオプションで，誤解されている「Palladium」（開発コード名）と呼ばれたセキュリティ技術を擁護する珍しい人間の1人だが，これらの特徴が出荷されないなら，何の利益があるのかと思わなければならない。そもそもLonghornは2003年出荷のはずが最近は2006年に延期されたのだが，ひょっとしたら出荷されないかもしれない。またまたがっかりさせてくれる。

　私は最近Microsoftのセキュリティ問題についてたくさん文句をいったが，もっと悩ましいことは，多分同社の製品出荷能力が明らかに欠けていることだ。Linuxや米Apple ComputerやMozillaのような敵が，サーバーとデスクトップ両方で莫大な利益を得るにつれて，Microsoft製品を抱えている会社がどれほど長く我慢できるか，予測するのは難しい。しかし，本当にセキュリティ問題だけが，同社の新製品発表能力を低下させる原因だといえるのだろうか。