(Mark Joseph Edwards)

 Microsoftが2004年4月13日に公開した4つのセキュリティ情報は,ほとんどのWindows OSとMicrosoft Outlook Express 5.5/6.0,Windows NetMeetingで見つかった20ものぜい弱性に関する情報を含んでいた。これらのセキュリティ情報をまだチェックしていないのなら,後回しにしないほうがいい。Microsoftはこれらのぜい弱性のうち6つを「緊急」(最大深刻度が最も高い)としており,残る14個は「重要」またはそれより危険度が低いと分類されている。

 Microsoftは,ユーザーに対して「緊急」に分類されたすべてのパッチをリリース後24時間以内に適用することを勧めている。このほか,重要なパッチはリリーズ後の1カ月以内,普通のパッチは同4カ月以内,そして重要性の低いパッチは同12カ月以内にインストールすることを勧めている。もちろんここで勧められている導入時期はガイドラインとして使うべきで,ユーザーの環境やセキュリティ・ポリシーに合わせてパッチの適用時期を決める必要がある。

MSが提供した技術文書は要チェック
 4月15日にMicrosoftは,Jesper M.Johansson氏による「Security Management:Oh Patch How I Hate Thee;Let Me Count the Ways」という技術文書を公開した。その中では,Microsoft製品のパッチや最大深刻度の話,同社がパッチを利用可能にするために使っている方法,システムを再起動することなくパッチをインストールできるかもしれない方法,事例ベースの情報などが紹介されている。Microsoft Virtual PCを使って,パッチ適用前の動作検証のテスト環境を作ることにも触れている。

スグレモノのフリーソフト
Purdue大学の「Cassandra」

 ユーザーのほとんどは,Microsoft以外のベンダーのソフトウエア製品も使っているだろう。こうしたソフトウエアのぜい弱性についても情報を送ってもらう必要があることは明らかだ。そういうときに検討すべきツールの1つは,米Purdue大学のCERIAS(Center for Education and Research in Information Assurance and Security)が出している「Cassandra」だ。

米国標準技術局やSecuniaの情報を検索
 Cassandraは,ユーザーが使用中の製品や新しいセキュリティ・リスクを監視したいと思う製品のリストを明確にしてくれる。さらに,例えばそのリストにある製品に関して,新しい情報が入手できるようになったら,電子メールで通知してもらうといった設定も可能だ。Cassandraは米国標準技術局(National Institute of Standards and Technology)の「ICATぜい弱性データベース」と,「Secunia」が提供するぜい弱性情報を検索する。ときにはICATの情報よりも,早く深い内容を提供してくれることもある。自分のプロファイルを生成・更新するのを助けるSassafras Softwareのソフトウエア・インベントリ/監査用ユーティリティ「KeyAudit」のようなフリーソフトの利用価値も高い。

 Cassandraを使えば,ユーザーの作業の一部を自動化したり,セキュリティ・リスクに関する知識不足を埋めたりしてくれるだろう。