マイクロソフトのセキュリティ更新プログラムは多い印象があるという声を耳にします。今回は改めて、マイクロソフトのセキュリティ更新プログラムの公開プロセスやこれまでの歩みについてまとめてみます。
毎月 1 回「パッチ」の日
マイクロソフトは、毎月第 2 火曜日 (米国時間) にセキュリティ情報 (セキュリティ更新プログラム) を公開しています。ひと月はあっという間に過ぎ、また今月も新しいパッチが…と、管理者にとっては絶え間なく感じるかもしれません。数で見ると、2013 年は計 106 件 (月平均 9 件)、2014 年は 7 月までで 42 件 (月平均 6 件) のセキュリティ情報を公開しました。
](https://msdnshared.blob.core.windows.net/media/TNBlogsFS/prod.evol.blogs.technet.com/CommunityServer.Blogs.Components.WeblogFiles/00/00/00/61/20/0246.1SUType.png)
図 1: 公開したセキュリティ情報の製品別内訳
では、視点を変えて、マイクロソフト製品の脆弱性は多いのか? National Vulnerability Database (NVD) のデータによると、2013 年では、業界全体で 5,000 件程の脆弱性が発見された中、マイクロソフト製品の脆弱性は 7% 程度でした (図 2)。
](https://msdnshared.blob.core.windows.net/media/TNBlogsFS/prod.evol.blogs.technet.com/CommunityServer.Blogs.Components.WeblogFiles/00/00/00/61/20/2541.2vulns.png)
図 2: 2011 年上半期 - 2013 年下半期 ベンダー別脆弱性公開数 (*出典:SIR 第 16 版)
脆弱性の取り扱いやセキュリティ更新プログラムの公開タイミングについては、「近くて遠くて、古くて新しい、脆弱性ハンドリングとゼロデイ対策」で説明していますのでご覧いただきたいのですが、これら脆弱性を「まめ」に修正するか、半年や 1 年毎にまとめて修正するか、また、お客様保護のため、公開に伴い積極的に情報やガイダンスを提供するか否かによっても、受け取る側の印象は違ってくると思います。マイクロソフトでは、お客様が脅威に晒されないことを担保しつつ、管理者負担を考慮して、現在の月例での公開に落ち着いています。
月例公開への道のり
セキュリティ更新プログラムの提供は、インターネット時代が到来して間もなく 1998 年 6 月に始まりました (図 3)。当初は、更新プログラムの準備ができ次第、随時公開していましたが、この形態では企業の IT 担当者が予測出来ず、更新プログラムの適用率が上がらなかったため、2002 年 5 月からは毎週水曜日(米国時間)の公開へと変更しました。しかし毎週では負担が大きいことがわかり、2003 年 11 月には現在の毎月第 2 火曜日(米国時間)の公開に変更。そして、2004 年 11 月からは、事前に適用計画を準備できるようにと、セキュリティ情報公開の 3 営業日前に事前通知を提供し始めました。月例公開にして 10 年以上経ちますが、お客様からの反応は全般的に良好で、より効果的にセキュリティ更新プログラム適用計画や人員確保を行えるという声をいただいています。
](https://msdnshared.blob.core.windows.net/media/TNBlogsFS/prod.evol.blogs.technet.com/CommunityServer.Blogs.Components.WeblogFiles/00/00/00/61/20/8270.3SUhistory.png)
図 3: セキュリティ情報公開サイクルの歴史
セキュリティ更新プログラム公開までのプロセス
MSRC (Microsoft Security Response Center) では、世界中の研究者やパートナー、政府機関、社内から脆弱性情報の報告を受け、ハッカー サイトやセキュリティ カンファレンス等では未知の脆弱性を公開していないかを監視しています。また、24 時間 365 日マルウェアを収集・分析する MMPC ラボでは、未知の脆弱性を悪用する検体があるかを確認しています。
](https://msdnshared.blob.core.windows.net/media/TNBlogsFS/prod.evol.blogs.technet.com/CommunityServer.Blogs.Components.WeblogFiles/00/00/00/61/20/0435.4suprocess.png)
図 4: セキュリティの脆弱性を確認してから公開するまでのプロセス
脆弱性と確認されると、脆弱性の内容により深刻度を決定し、また、お客様に及ぶ可能性のある影響に基づいて優先度を割り当てます。緊急性の高いものやゼロデイなどの場合は日単位や週単位でセキュリティ更新プログラムの公開まで至るケースもありますが、優先度の低いものは数か月といったスパンでセキュリティ更新プログラムの作成を行います。1 つの更新プログラムでなるべく多くの脆弱性をまとめて修正するなどの努力をしています。
セキュリティ更新プログラムの作成が終わると、品質確保のため、複数レベルに亘り厳しく広範なテストを行います (図 5)。機能や依存性の確認、何千ものサードパーティ ソフトウェアとの互換性検証などを行い、ランダムに抽出した社員の PC に適用して実務利用で問題がないかの確認や、セキュリティ更新プログラム検証プログラム (SUVP) では契約顧客やパートナー顧客の環境で、自社アプリとの互換性検証など、マイクロソフトだけでは行えない幅広い検証をお願いしています。
](https://msdnshared.blob.core.windows.net/media/TNBlogsFS/prod.evol.blogs.technet.com/CommunityServer.Blogs.Components.WeblogFiles/00/00/00/61/20/3324.5sutest.png)
図 5: セキュリティ更新プログラムの品質テストのステージ
このテストを通過すると、月例のサイクルに合わせて、セキュリティ情報やガイダンスとともに、セキュリティ更新プログラムを公開します。
Windows Update で常に最新に
特に個人のお客様には、透過的にセキュリティ対策が成されるよう、Windows Update によるセキュリティ更新プログラムの自動配信を行っています。これにより毎月意識することなく最新のセキュリティ更新プログラムが適用されます。企業のお客様には、Windows Server Update Services (WSUS)、Systems Management Server (SMS)、System Center Configuration Manager などの管理ツールを提供していますが、今年 5 月からは、MyBulletins (英語提供のみですが日本のお客様でもご利用いただけます。マイクロソフト アカウントが必要です) というサービスを提供開始し、IT 管理者が自社環境にあるマイクロソフト製品に関するセキュリティ情報のみを表示させ、公開日や深刻度、再起動の有無等でソートして優先順位を決定するなどが行えるようになっています。マイクロソフト アカウントとリンクしているため、カスタマイズした情報や設定はダッシュボードとして保存されます。MyBulletin はお客様のフィードバックを基に開始したサービスですが、ご興味のある方は一度お試しになってください。
おわりに
マイクロソフトは、1998 年からの継続的な更新プログラムの提供および透明性の高い情報公開に加え、2002 年からの Trustworthy Computing (TwC) (信頼できるコンピューティング) により、脆弱性のない製品作りや多層防御による製品セキュリティの向上などに努めてきています。また、業界や関連企業と連携し、より迅速かつ強固にお客様を守る体制作りをしており、脆弱性対策やセキュリティ対策が最も進んでいる企業の 1 つとして継続的に努力しています。
世の中から犯罪をゼロにすることができないように、人の作るソフトウェアの脆弱性をゼロにすることはできませんが、日頃からセキュリティ更新プログラムの適用や適切なセキュリティ製品の利用、またセキュリティに対する意識を高く持つなどの備えをすることで、安心安全なデジタル ライフを楽しんでいただければ幸いです。