今さら言うまでもなく,マイクロソフト製品には危険なセキュリティ・ホールが相次いで見つかっている。10月4日には,Internet Explorer(IE)のセキュリティ・ホール「MS03-040」 が公開された(関連記事)。とはいえ,同社は手をこまねいているだけではない。同社製品のセキュリティ・ホールによって「Blaster」などが蔓延したことを反省し,積極的な対応を展開している。その代表例が「Protect Your PC キャンペーン」である。今回の記事では,同キャンペーンについて解説する。

 なお,「MS03-040」については,背景などを調査した後,次回以降で詳細に解説したいと考えている。

デフォルトでICFを有効にしてほしい

 マイクロソフトは9月16日,一般ユーザーに向けた,PCのセキュリティを向上させるための「Protect Your PC キャンペーン」を開始することをアナウンスした

 同社では「Protect Your PC キャンペーン」を,一般ユーザーに3つのセキュリティ対策を徹底してもらうためのキャンペーンだとしている。3つの対策とは,「ファイアウオールの利用」「Windows Updateの使用」「ウイルス対策ソフトウエアの利用」――である。

 さらに,キャンペーンの一環として,Windows Updateの利用が困難なWindows XPユーザーを対象に,「Windows XP セキュリティ対策 CD-ROM」を配布する。

 以下,「Protect Your PC キャンペーン」のポイントを見ていこう。「Protect Your PC」の総合ページとして,「Protect your PC: パソコンを守るための 3 つの手順」が用意されていて,同ページから,それぞれの対策手順のページにアクセスできる。

 まず,「ファイアウォールの利用」に関しては,「ファイアウォールについて知る」というドキュメントを用意している。同ドキュメントでは,Windows XPユーザーに対して,XPに標準搭載されている「インターネット接続ファイアウォール(ICF)機能」を使うよう勧めている。

 ICF機能は,XPマシンのセキュリティを向上させるのにとても有効な機能である。このコラムでも,たびたび紹介し,使用することを勧めている。しかしこの機能は,Windows XPに標準搭載されているにもかかわらず,デフォルトでは無効にされている。というのも,ICF を有効にすると,PCにインストールされているネットワーク関連ソフトウエアや機能に影響を与える場合があるからだ。その結果,PCが意図した通りに動作しない可能性がある。

 PCが意図した通りに動作しないと,初心者は戸惑ってしまう。利便性を考えれば,ICFはデフォルトで無効のほうが望ましいだろう。しかし,初心者こそが,Blasterなどの被害者になったのである。利便性よりもセキュリティを優先するべきだろう。マイクロソフトが唱えているように,「Secure by Default」こそが望ましい。筆者も同じ考えだ。

 一部報道によると,米MicrosoftはICFをデフォルトで有効にする意向があるようだ。ユーザーのことを考えれば,一刻も早くデフォルトで有効にしてもらいたい(関連記事 )。

 前述のように,ICFをデフォルトで有効にすると,トラブルが発生する場合がある。トラブルを回避するための情報へのリンクが「ファイアウォールについて知る」の最後にまとめられている。「ICFを有効にしたら,今までは利用できたアプリケーション(サービス)が使えなくなった」といったトラブルが発生した場合には,まずはそちらをチェックしてほしい。

業務用マシンでは使うべきではない自動更新

 「Windows Updateの使用」に関しては,「Windows Update および自動更新機能」というドキュメントを用意している。

 同ドキュメントでは,「Windows Update」と「自動更新」という2つのサービス(機能)を紹介している。「Windows Update」は,ユーザーがWebサイトにアクセスして,手動でWindowsの更新を実施するサービス。「自動更新」は,Windows Updateサイトの「重要な更新」を調べて,未適用のパッチなどを自動的にダウンロードおよびインストールするサービスである。

 マイクロソフトによると,自動更新では,PCのインターネット接続の使用状況を検出するテクノロジが使用されており,インターネット接続を使用していないときにだけ,パッチなどをダウンロードするとしている。このため,ユーザーがインターネット接続のパフォーマンス低下に気が付くことはないという。

 自動更新には,以下の3つのオプションが用意されていて,ユーザーが選択できる。

(1)「更新(パッチなど)をダウンロードする前に通知し,インストール(適用)する前に再度通知する」
(2)「更新を自動的にダウンロードして,インストールの準備ができたら通知する」
(3)「更新を自動的にダウンロードして,指定したスケジュールでインストールする」

 (3)については,当初は存在しなかった。Windows XPでは,「“自動アップデート 2002 年 6 月”の更新」や Windows XP Service Pack 1を適用すると,Windows 2000 では,Windows 2000 Service Pack 3 を適用すると,このオプションを利用できるようになる(Windows Server 2003には最初から組み込まれている)。

 マイクロソフトでは,(3)のオプションを選択するよう強く推奨している。筆者自身も,個人用のPCについては,このオプションを選択するよう勧めたい。

 とはいえ,業務で使用するマシンについては,自動更新サービスの利用はお勧めできない。修正パッチを適用すべきかどうかを検討し,適用する場合には,事前に十分検証した後,適用すべきである。というのも,修正パッチは緊急対応のために配布されるものであり,Service Packのように十分検証されたものではないからだ。

 このコラムでも何度か紹介しているように,パッチの適用でトラブルが発生したことは少なくない。最近では「マイクロソフト トラブル・メンテナンス速報」において,「Windows Update サイトより "NEC mouse software update released on December 13 2002" をインストール後,システムが正常に起動しなくなる現象について」「Windows Update サイトより "Intel Corporation display software update release on April 11 2003" をインストール後,システムが正常に起動しなくなる現象について」といったトラブルが報告されている。

 これらは,Windows Updateでは「ドライバの更新」の内容であり,自動更新サービスの対象となるパッチではない。とはいえ,こういったトラブルを見ると,信頼性が求められるマシンに対して,自動更新を利用することはためらわれるだろう。

 自動更新サービスの詳細については,「マイクロソフト サポート技術情報 - 327838 [HOWTO] Windows XP,Windows 2000,または Windows Server 2003 で自動更新をスケジュールする方法」を参照してほしい。

今回のキャンペーンだけにとどまるな

 「ウイルス対策ソフトウエアの利用」については,「ウイルス対策ソフトウェアについて知る」というドキュメントを用意している。

 同ドキュメントでは,「コンピュータにウイルス対策ソフトウェアをインストールします」「古いウイルス対策ソフトウェアは,無能なウイルス対策ソフトウェアであることを意味します」「ウイルス対策ソフトウェアがシステムを保護するために正しく設定されているか確認します」――の3つが,ウイルスからPCを守るための重要な手順として挙げている。

 さて,「Protect Your PC キャンペーン」の一環として,マイクロソフトは「Windows XP セキュリティ対策 CD-ROM」を配布している。これには,「Windows XP Service Pack 1a 」や「セキュリティ修正パッチ」,「各種セキュリティ関連ドキュメント」が含まれている。「セキュリティ修正パッチ」には,9月11日に公開された危険なセキュリティ・ホール「MS03-039」のパッチも含まれている。

 CD-ROMには,以上が含まれるだけではなく,自動更新機能を「更新を自動的にダウンロードして,インストールの準備ができたら通知する」のオプションに設定する機能が含まれている。自動更新を有効にすること自体は,一般ユーザーには有用だろう。しかし,マイクロソフトは「更新を自動的にダウンロードして,指定したスケジュールでインストールする」を選ぶことを強く推奨しているのに,それとは異なるオプションに設定するのは謎である。筆者としては,「Windows XP セキュリティ対策 CD-ROM」を利用した場合には,オプションを「更新を自動的にダウンロードして,指定したスケジュールでインストールする」に変更することをお勧めする。

 せっかくコストをかけて,対策用のCD-ROMを配布するのだから,オプションを「更新を自動的にダウンロードして,指定したスケジュールでインストールする」に設定するべきだったのではないかと考える。加えて,ICFを有効にする機能を持たせてもよかったのではないだろうか。「Trustworthy Computing(信頼できるコンピューティング)構想」を提唱している以上,そういった配慮がほしかった。

 ICFを勝手に有効にすれば,「今まで使えていたアプリケーションが動かない」といったユーザーからの問い合わせが殺到し,サポートにかかるコストが一時的に増加するかもしれない。しかし,Blasterのようなワームの蔓延を許せば,その収拾にかかるコストは莫大なものとなるはずだ。今回の「Protect Your PC キャンペーン」にとどまることなく,今後もよりセキュリティを高めるような取り組みを期待したい。

 最後に,今回の記事では「Protect Your PC キャンペーン」に焦点を当てて解説した。上記以外のWindows関連のセキュリティ・トピックスについては,記事末にリンクを記したので,そちらを参照していただきたい。



マイクロソフト セキュリティ

Protect your PC - パソコンを守るための 3 つの手順

緊急レベルのセキュリティ修正プログラムについて

マイクロソフト トラブル・メンテナンス速報

Office のアップデートの不具合と回避策

「セキュリティに関する大切なお知らせ - Protect your PC -」 の件名のメール送信元について

Internet Explorer と Windows の脆弱性をねらう手口が公開されています

TechNet Online セキュリティ

Swen に関する情報

セキュリティ修正プログラム管理ガイド

脅威とその対策 : Windows Server 2003 と Windows XP のセキュリティ設定  

ワイヤレス LAN のセキュリティ強化 (Windows Server 2003 証明書サービス ソリューション)  

Microsoft ID およびアクセスの管理ソリューション


山下 眞一郎   Shinichiro Yamashita
株式会社 富士通南九州システムエンジニアリング
第一ソリューション事業部ネットソリューション部 プロジェクト課長
yamaアットマークbears.ad.jp


 「今週のSecurity Check [Windows編]」は,IT Proセキュリティ・サイトが提供する週刊コラムです。Windows関連のセキュリティに精通し,「Winセキュリティ虎の穴」を運営する山下眞一郎氏に,Windowsセキュリティのニュースや動向を分かりやすく解説していただきます。(IT Pro編集部)