「緊急で超特大のセキュリティホール」

2003/11/16

 
 「Windowsに超特大のセキュリティホールが発見された。Microsoftは危険度を『緊急』としている」
 普通に文面を読むとなんか大事件のようだが、実際これに驚く人はそうはいないだろう。何せ、こんな情報はこれまでにも数え切れないほど出ているからだ。現時点で、Microsoftのセキュリティ情報サイトに「緊急」とランクづけされている脆弱性は18もある。これだけ「緊急」が安売りされては、利用者への訴求性も薄くなってしまう。
 いっそのこと、「緊急」をさらに細分化して、本当にすぐ当てないと大変な事になる情報をより目立たせたほうがいいのではないか、と思うほどだ。「ウルトラ緊急」とか「ウルトラスーパー緊急」とかいった感じだ。もっとも、そんな事をしても、今度は「ウルトラスーパー緊急」が大量発生するだけかもしれないが。
 それほどまでに、Windowsおよび、それと一体化しているIEの新たなセキュリティホールの発見は日常茶飯事と化している。毎月のように「この脆弱性を放置したまま悪意のあるサイトを見たり、HTMLメールを受信したりすると、お使いのコンピュータが他人に操作される危険があります」みたいな情報が出るのだから尋常な事ではない。

 さらにやっかいなのは、「対策のために提供されるセキュリティパッチ」の問題だ。先日、「当てるとマシンがハングアップする場合がある」というパッチが提供される、という事件があった。まだハングアップならいいが、これが「データ破壊」などだとシャレにならない。
 そのような例はまだ少ないものだが、これがも「パッチを当てたら一部のアプリが動かなくなった」というのも珍しくない話だ。先日、筆者もキヤノンが売っている外字ソフトから外字が登録できず、調べてみたらWindows2000のサービスパックを当てたのが原因だった、というのがあった。まだこれは市販のソフトだからすぐに判明したと言える。これが作りこみのアプリだったら、原因究明・解決はより一層困難になっていただろう。
 したがって、よく報道などで「これはMicrosoftが提供していたパッチを当てれば防げた」などと書かれるが、パッチを当てればいい、というものでもないのだ。
 まあ、そのような専用的なアプリを使うのは、ほとんどが企業での利用者だ。ほとんどの一般家庭での利用者は、「WEBサイト閲覧とメールとデジカメがほとんど、たまにWordとExcelを使い、あとは年賀状作成くらい」という程度だ。これならパッチを当てても副作用はないだろう。
 しかしながら、「システム管理者」などがいない一般家庭において、慣れない人がこのパッチあて、というのを行うのはかなり面倒な事だ。「Windows Update」の操作も言われているほど簡単ではない。

 つまり、パッチが提供されているのだから、それを当てればいいのだ、と言えるほど話は単純ではないのだ。では一体、どのような対策をとればいいのだろうか。
 現状では、セキュリティソフトの導入が最善だと思われる。一見、金がかかりそうに思えるが、7千円のソフトを買って、一年後に延長キーを4千円で追加しても二年で1万2千円を切るわけだから、月にして5百円以下だ。そう考えれば、たいしたコストではない。
 セキュリティホール問題そのものの解決にはなっていないが、外部からの接続そのものを管理する機能があるので、これを入れておけばかなり被害にあう確率は減るだろう。また、最新のウイルス情報などを入手する「Live Update」も、「Windows Update」よりも簡単にできる。

 というわけで、現状では、MicrosoftのOS・ブラウザ・メーラーを安心して使い続けるには、Microsoft以外の会社の力を借りねば無理、と結論付けられると思う。
 クライアント用次期Windowsのの「Longhorn」も、現時点での情報をまとめる限り、セキュリティに対する抜本的な改良は加えられないようだ。これまで通り、「一般ユーザーのほとんどが使わない新機能が追加された代償に、その機能が原因となるセキュリティホールが発生」を繰り返すのだろう。
 この状態から脱却するには、Microsoftが基本的な考え方を変えて、機能より安全性を優先したOSを作るよう方向転換するよりない。特に、一般家庭で一般的な機能しか利用しない人のために、「便利な機能は少ないが、そのぶんセキュリティホールの危険性の低いWindows・IE」を作ることも考えてもいいのでは、と思う今日この頃である。

 


「電算室」に戻る

トップページへ戻る