XP SP2のセキュリティを全製品のユーザーへ平等に与えるべきだ

PaulThurrott

2004.10.14

（Paul Thurrott）

　ご想像の通り，私は非常に多い時間をMicrosoftの社員と直接会ったり電話で話したりすることに費やしてしている。そこで，いつも繰り返し出るテーマの1つは，同社がセキュリティ向上を理由に，製品のアップグレード版を売っているのではないかということだ。

　Microsoftのほとんどの人は，同社の最新製品は常にどこかセキュリティ上重要な機能を備えているとすぐ指摘する。だが，同社は既存製品の顧客を守るためにも，できる限りのことをすべきで，それは企業責任の問題である。

昔のOSを改造するのは不可能かもしれないが……
　悲しいが，昔のOSを新しいセキュリティ機能付きに改造することは，ほぼ不可能なのが現実である。理由の1つはMicrosoftの統合戦略にある。MicrosoftはInternet Explorer（IE）をWindowsに添付するのではなく，IEのコンポーネントをいろいろなバージョンのWindowsに違ったやり方で深く埋め込んだ。その結果，IEには，よく似てはいるが互換性がほとんどない複数のコードがある。そのため「Windows XP Service Pack 2（SP2）」のIEに組み込んだセキュリティ機能をほかのバージョンのWindowsに組み込むことはたやすい仕事ではない。現実には不可能に近いかもしれない。

　XP SP2にあるIEには，ポップアップ・ブロックや安全性の高いダウンロード，アドオン管理などといった新しいの機能がある。既存のMicrosoft製品のユーザーとしては，これらの機能がWindows 2000，Windows NT，Windows 9xで利用できるようになってほしいはずだ。しかし，そういうことはない。最新のIEのセキュリティ機能を入手するには，Windows XPに変える必要があるのだ。

ユーザーの約5割はXPより前のWindowsを走らせている
　これは大きな問題だ。Microsoft自身の見積もりでは，ユーザーの約5割はXPより前のWindowsを走らせている。次期Windowsである「Longhorn」（開発コード名）の出荷が延期されるたびに，多くの顧客がXPへアップグレードしていくと思うが，同社が現在の顧客の5割を無視できるとはとても思えないのだ。

　さらにMicrosoftは，開発コード名「Springboard」で知られるXP SP2のセキュリティの改良点を古いバージョンのWindowsに移植しない。「Windows Server 2003 Service Pack 1（SP1）」だけが，XP SP2によるセキュリティ修正に相当するものを追加されるだろう。これはXP SP2によるセキュリティ技術をWindows 2003がもういくつか内蔵しているために可能になるのだろう。

　Springboardの情報は，Microsoft上級副社長のBob Muglia氏が米国内を巡回するセミナーに出た2004年5月に公知になった（関連記事）。Windows 2000 SP5に関する質問にも答えて，Muglia氏はこういった。「現時点ではWindows 2000にSpringboardみたいなものはない。XPのようなかなり広い改良を加えるつもりはない。Springboardでは，何百の何百倍もの変更をOSに追加した。われわれは（XP SP2を）だれも攻撃に使えないようにたくさん掃除したし，そういうトラブルが起きる機会がないようにしたいと思って入念に改良した。そういう作業はWindows 2000には反映できないだろう」。つまり，Windows 2000 SP5は昔のサービス・パックに近いものになる。最後に同SP5について聞いたのは，いつだったろうか。

MSの対策はXP SP2へのアップグレードを勧めること
　9月にMicrosoftは顧客のセキュリティを守る方針を改めて明確にした。ただし公式発表を通じてではなく，報道関係からの質問に答える形だった。「Windows XP SP2による強化をWindows 2000やほかの古いバージョンのWindowsにも提供する計画はない。今日Windowsの最も安全なバージョンはSP2を適用したWindows XPである。われわれは顧客にできる限り早くXP SP2にアップグレードすることをお勧めする」という。

　さてユーザーはどうしたらよいだろうか。Microsoftはできるだけ早くXP SP2にアップグレードするよう勧めている。XPの値下げやXPのサポート料金の値下げはなく，同社は単にアップグレードなどを提供するだけだ。私はダース・ベイダーが「今度こそ逃げ道はないぞ」と言いながら，こぶしを握りしめている姿を想像できる（申し訳ない，私はスターウォーズ3部作のDVDを見たばかりなので…）。

でもサポート中の全製品に対するセキュリティ修正を出してほしい
　だがちょっと真剣に考えてほしい。もし，Microsoftが企業向けのいろいろな製品を特定の期間，サポートすると約束したらどうだろう。それはメイン・ストリームのサポート期限が2005年6月いっぱいのWindows 2000と同様にである。そうなれば，同社が今売りたい新製品だけでなく，サポートしている製品すべてに対応するセキュリティ修正を出す必要が出てくる。セキュリティは将来登場する製品だけの特徴であってはならず，顧客がある程度の数を使っているあらゆるMicrosoft製品に不可欠のものだ。Microsoftはそういう責任をまっとうするべきであり，単に顧客に最新版へのアップグレードを勧めるべきではない。