マイクロソフトは10月12日,セキュリティ対策プログラム「ストラテジック テクノロジー プロテクション プログラム」(STPP)を発表した。コード・レッドやニムダといった同社製品のセキュリティ・ホールを狙った攻撃に対抗するための情報やツールなどを提供するプログラムである。米マイクロソフトが10月3日に発表した内容とほぼ同じもので,その日本語版の提供時期を明らかにした。
セキュリティ・ホールを狙った攻撃を防ぐには,Windows OSやIIS(Internet Information Services),IE(Internet Explorer)などを安全に設定し,サービス・パック(SP)やパッチ(修正プログラム)を適用する必要がある。マイクロソフトはWebサイトや電子メールで,安全な設定法を記載した文書やパッチなどを提供してきたが,それらはわかりにくく,使いづらいものだった。
このような課題の改善を目指すのがSTPPである。STPPでは,まず10月22日に,「Security Tool Kit」をWebサイトで公開する(http://www.microsoft.com/japan/security/)。このキットは,(1)セキュリティを向上するための文書,(2)最新のSP,(3)最新SPの公開後に提供されたパッチを整理してまとめた「Security Rollup Package」(SRP),(4)セキュリティ強化のための無償のツール--で構成される。
(1)の文書は,Windows NT4.0/2000やIIS,IEを安全に設定して,必要なSPやパッチを適用する方法をまとめたもの。たとえば,セキュリティ上危険なプログラムなどを削除したりする。(3)のSRPは,IISとWindows NT4.0向けに2001年8月に公開された。IISを含むWindows2000向けのSRPは今後,2カ月ごとに最新のものを提供する。
(4)のツールには3種類ある。Windows OSやIE,IISなどのパッチの適用状況を調べる「HFNetChk」,IISの設定を自動的に安全にする「IIS Lockdown Tool」,IISの対する不正なアクセスを遮断する「URL Scan」--である。2002年第1四半期にはさらに,Windows2000の危険な設定を調べるためツールなども提供する。
HFNetChkはSPやSRPの公開後に提供したパッチが適用されているかをチェックするコマンド・ライン・ツールである。実行すると,未適用のパッチのリストが表示され,それを見てマイクロソフトのWebサイトからパッチを取得して適用する必要がある。このため,HFNetChkはSPやSRPを適用したあとに実行することが推奨されている。Windows自身,未適用のパッチをチェックし,それを自動的に適用する機能「Windows Update」を備えている。しかし,これだけではすべてのパッチを網羅できない。HFNetChkでこれを補う。
製品自体のセキュリティ機能も強化していく。2002年前半に出荷するWindows2000の修正パッケージ(SP3)では,Windows Updateによるパッチの適用を,ユーザーの操作なしに自動的実行できるようにする。これは11月に出荷するWindows XPに搭載済みの機能である。2002年半ばにも出荷されるWindows2000 Serverの次期版「Windows .NET Server」では,OSやIISの設定をインストール時点で安全なものにしておく。
作業の手間はあまり変わらない
STPPによって,WindowsやIISのセキュリティを高める手間はある程度軽減される。しかし,最新のセキュリティ情報を常にチェックして,新しいパッチが公開されればすぐに適用するという作業は,今後も必要になる。パッチ適用を自動化するWindows2000 SP3の機能は,この手間の軽減を図ったものだが,これにも注意が必要である。パッチを適用すると,それまで安定稼働していたOSやWebサーバーがうまく動かなくなる危険性がある。ECサイトなどでは自動適用はせずに,事前にテストするといった対応が不可欠だろう。(K.A.)
