しかし,次から次へとセキュリティ・ホールが見つかるものだ。Internet Explorer,電子メール・ソフトのOutlook/Outlook Express,Officeファミリ・・・。これらのいずれかで,毎月のようにセキュリティ・ホールが見つかっている。
これらはいずれも市場の大きなシェアを占めるマイクロソフトのソフトウエアである。もちろん,プログラムのミスなどによるセキュリティ・ホールは,マイクロソフトに限ったことではないのだが,そのユーザ数の多さや反マイクロソフト派の活躍?などによってそれが目立っている。
マイクロソフトでは,パッチ(修正ソフト)の提供などのセキュリティ情報をWWWサイトで公開するとともに,電子メールで通知する警告サービスも提供しており,一応の責任は果たしている。しかし,こういった情報をきちんとチェックして,パッチを当てたりするのは容易ではない。さらに「セキュリティ・ホールとはなんでしょうか?」という初心者ユーザはお手上げに近い。
「フレーム ドメイン確認脆弱性」,「権限なしのcookie アクセス脆弱性」,「コンポーネント属性の変形脆弱性」--。5月18日にマイクロソフトが公開したInternet Explorerのセキュリティ・ホール情報である。これらは,悪用されると被害が大きくなりそうなセキュリティ・ホールのようである。英語版のパッチはあるが,日本語版は準備中で,パッチが出来次第,公開するとのこと。
こういったセキュリティ情報を読んで,問題の大小がわかり,対処できるユーザがどのくらいいるのだろう。いざパッチを当てようとWWWサイトにアクセスしてみるといくつものパッチがあり,どのパッチを当てていいのか,当てるべきなのかがわからない。
私自身,すでに当てたパッチはどれで,どれを当てればいいのか,いつも悩む。また,パッチがまだ準備できない場合,対処方法として「JavaScriptを無効にすること」などとなっていることがある。しかし,どのように設定を変えたらいいのかがわからないことも十分ありうる。Internet Explorerのユーザなのだから,そのくらいのことは勉強すべきということなのだろうか。セキュリティ情報を見て,ある程度は理解できるようにはなる。しかし,それでは趣味など興味のあるWWWサイトへのアクセスを楽しむといった一般ユーザは,ブラウザを使えないということになる。
たとえば,テレビはだれでも利用しているが,その中身(仕組み)のことはほとんどの人が知らないはずで,それで十分である。まさにブラックボックスのまま利用している。設計上のミスで不具合が発生した場合は,基本的に販売店/メーカが無料で直してくれる。家電製品とソフトウエアは違うといえばそれまでだが,ソフトウエアはソフトウエア流のユーザにやさしい仕組みがあっていいのではないだろうか。
ウイザードのような形式で,平易な表現で発見されたセキュリティ問題が重大なのかどうかをわかるようにする。過去からのパッチの適用状況がチェックし,必要なパッチを簡単に適用できるような機能も欲しい。パッチが間に合わず設定変更をすべきという場合は,その設定変更もウイザードがサポートする。せめて,マイクロソフトがOSのアップデートで提供している「Windows Update」のようなサービスが望まれる。
ISDN回線を使ったIP接続やADSL(非対称ディジタル加入者回線)などの安い定額制常時接続サービスによって,インターネットに“長い時間つながる”初心者ユーザが多くなる。そのようなユーザのサポートも,ソフトウエア・ベンダーの役目なのではないか。
(小松原 健=日経インターネット テクノロジー)
