Windows Update|企業クライアント戦略|ブログ|Computerworld

●継ぎ当ての火曜日

ソフトウェアのセキュリティ的な弱点を「セキュリティホール」と呼ぶ。セキュリティホールをなくすための修正プログラムが「パッチ(継ぎ当て)」である。「パッチ」にはあまり良い印象がないので「セキュリティ更新プログラム」あるいは単に「更新(Update)」と呼ぶことが多い。

毎月第2火曜はマイクロソフトのセキュリティ更新プログラムが公開される日だ。これを “Patch Tuesday (継ぎ当ての火曜日)” と呼ぶ。ただし、これは米国太平洋時間(要するにマイクロソフト本社がある地域の時間帯)での話で、日本では水曜日になる。

「第2火曜」の原則には地域の事情は考慮されない。日本のお盆と重なることもあるし、中国の正月(旧正月)になることもある。ユダヤ教の「過越(すぎこし)」と重なることもあるし、キリスト教の復活祭(イースター)期間と重なることもある。

ちなみに、イエスとその弟子たちの「最後の晩餐」は過越の儀式なので、過越の翌日が処刑、復活はその3日後である。ただし、過越はユダヤ歴で祝われるのに対して現在の復活祭は「春分の日の後の最初の満月の次の日曜日」である。両者が大きく離れた時期になることもある。

以前は毎月1回ではなく、更新プログラムが完成したらその都度リリースされていた。その結果、あまりにも頻繁なアップデートに企業のIT管理者が悲鳴を上げ、月に1回になったとされている。しかしこれには若干の脚色が混じっている。頻繁なアップデートが敬遠されたことは事実だが、必要な更新は面倒でも適用しなければならない。真相はこうだ。

 あまりにも頻繁に更新を行なうと、セキュリティ上かえって危険である。

 ●もっとも危険な時期は?

頻繁な更新がなぜ危険度を増すかについて解説する前に、セキュリティホールのライフサイクルについて紹介しよう。一般にセキュリティホー度が発生してから消滅するまでは以下の流れに従う。 

1. 発生…誰も気付いていないため無害
2. 発見…誰かが気付く
3. 回避…一時的な回避策(ワークアラウンド)の公開
4. 消滅準備…根本的な修正(更新プログラム)の公開
5. 消滅…実際に更新プログラムが適用されセキュリティホールが消滅

 悪意を持った人間が、最初にセキュリティホールを発見するケースは意外に少ない。ワークアラウンドは、具体的な攻撃手法へのヒントにならないように注意深く記述されるため、まだまだリスクは小さい。しかし、更新プログラムの公開後、リスクは急増する。更新プログラムを解析することで、どのような脆弱性(ぜいじゃくせい)があり、どのように攻撃すればシステムに侵入できるかが分かるからだ。従って、システム管理者は更新プログラムの公開後、可能な限り早く自社のサイトに更新を適用する必要がある。

最近では更新プログラムが公開される前に攻撃を受ける「ゼロデイアタック」も増えてきたが、まだまだ数は多くない。24時間以内に更新プログラムを適用すれば攻撃リスクはかなり減るはずだ。

なお、「ゼロデイアタック」の数は多くないが皆無でもない。ゼロデイアタックが予測される場合や実際に起こってしまった場合は、毎月1回のスケジュールは無視されて、緊急に更新プログラムが公開される。本当に緊急なのでお盆であろうが正月であろうが緊急に対処したい。

 ●ご利用は計画的に

以上のことから分かるように、セキュリティ更新は攻撃の機会を増やす。そのため、たとえば更新プログラムが5月1日、10日、30日の3回公開されたら、危険な期間も月に3回発生してしまう。もし5月11日の1回だったら、危険な期間は1回である。

もちろん、あまりに更新間隔が長いと攻撃者が独自にセキュリティホールを発見してしまうためゼロデイアタックを引き起こすというリスクがある。月に1回というのは、管理者の手間と攻撃プログラムの発生のバランスを取った結果である。

事前に公開スケジュールが分かっている場合、その日程を事前に空けておくことができる。IT管理者は、毎月第2火曜と水曜は休暇を取らないし、出張にも行かない(かどうかは知らないが、気持ち的にはこうだ)。最近は、マイクロソフトから事前通知あるので、対象となるOSの種類や更新プログラムの重要度をあらかじめ知ることができる。もちろん詳細な情報は公開されないが、事前通知で軽微な問題しかないと分かっていれば休暇を取っても大丈夫だ。

 ●「下手な考え休むに似たり」

更新プログラムは組織内でテストを行ない、適用しても問題がないものだけを配付するべきだとされている。しかし、多くの組織では十分な検証環境がないし、人手も足りない。筆者のお勧めは既定の設定に従う、つまり「何もしない」ことである。

最近のWindowsは、更新プログラムを自動的に検知して勝手にダウンロードする。毎日午前3時には更新をインストールして必要に応じて再起動まで行なう。以前は更新プログラムによるトラブルが頻繁に起こっていたが、最近ではほとんどない。筆者の自宅PCも自動更新を構成し、必要に応じて午前4時に再起動するようにしているが、ここ数年来で問題が発生したことは一度もない。午前3時でないのは、ごくまれにその時間に仕事をしていることがあるからだ。

5月もいくつかのセキュリティ更新があるだろう。連休明けになるが、マイクロソフトは地域事情は考慮しない。更新の数と重大レベルは1週間ほど前に「マイクロソフト セキュリティ情報の事前通知」として公開される。事前通知を電子メールで受信するサービス「マイクロソフトテクニカルセキュリティ情報通知のご案内」も用意されているので、登録しておくことをお勧めする。