Microsoftのセキュリティ技術部門VP、Mike Nash@本家:其の二 44
読み応え十分続編 部門より
(7)
「平均的ユーザー」に付き合ったりしてる?
by Caspian
私は繰り返し何度となく、エンドユーザーと会っています――御婆様方、「サッカーママ」タイプ、サラリーマン――そういう人のコンピュータは決まりきって、スパイウェア、ウイルス、その他のマルウェアがどうにもならないほど詰まっていて、その圧倒的大部分はMicrosoftのソフトウェアにあるセキュリティの欠陥を突くことを通じて感染しています。そういったコンピュータの除菌を、私はしょっちゅう任せられるんですよ。
あなたは(そしてあなたのチームのメンバーは)どのくらいの頻度で平均的エンドユーザーに付き合ってるんでしょうかね? 大企業のセッティングにおいてだけじゃなく、中小企業において、そして(勝るとも劣らず重要な)世間の一般家庭のセッティングにおいて、ですよ。ジョー・アベレージ氏に付き合ってですね、Microsoftのソフトウェアにある特定のバグや設計上の決定(例:ほとんどのエンドユーザーが管理者権限で動かしている事実)を突かれることで、(彼個人のプライバシーや彼のデータの品位はさておき)彼のコンピュータのパフォーマンスがどれだけ酷いことになっているかを見さえすれば、Microsoftのセキュリティ戦略に重大な転換を迫ることにもなると思うんだけどなあ。
$LATEST_WINDOWS_VERSIONは前任者よりセキュアですよと何度となく謳われているにもかかわらず、私ときたら相変わらず平均的一般家庭に呼び出されて、Internet Explorerの穴(および/または設計上のマズい決定――例:ActiveXコントロールの扱いとそれが持ちうるシステム上のファイルを変更する能力)を通じてWindowsシステムに感染した数え切れないスパイウェアの類を除去しつづけてるし、(対ウイルスソフトウェアが広く利用されていることに反して)いまだに私が調査したエンドユーザーのシステムのほとんどから(Microsoft Outlookを通じてシステムに入り込んだ)ウイルスが少なくともいくつか見つかるような有様です。
ジョー・アベレージ氏のPCをセキュアにするために、あなたは何をしてくれてます? 平均的ユーザーと少しでも交流を持つことはありますか? もしないなら、なんでないの?
Nash: 個人的に私は、かなりの時間を割いてエンドユーザーと接しています――たいていは友達や家族ですが、Microsoftでの仕事を通じて会う人たちもいます。私には妻がいて、兄弟3人、姉妹1人、義理の姉妹5人、義理の兄弟3人、両親、義理の母、義理の父、叔父1人、叔母2人、達者な祖母が1人、子供3人(皆PCを使うような歳になってないけども)、甥5人、姪7人がいますし、技術サポートを求める親族からの電話を数多く受けています。彼らのフィードバックが我々のセキュリティ戦略上の決定をどれほど左右してきたかを思うと、実際驚くべきものがあります。例を2つ挙げてみましょう。
Blasterの発生直後に叔父のKenが、その騒動で私がどうしているかを心配して電話をかけてきました。叔父にはちょっと変わったところがあって(とはいっても彼は私の唯一の叔父だし比較対照がいるとはいえませんが)ときどき私のことを「甥っ子」と呼ぶんです。で彼が言うには「甥っ子よ、最近のBlasterとかいうやつでオレは何をすべきなんだ?」 私は自動アップデートをオンに、ファイアウォールをオンにすべきと指示しました。そのやり方を彼が訊いてきたとき、私はいくつかダイアログボックスを挙げて説明し、彼にセットアップさせました。この過程で私は重要なこと2つを学びました。1つめは、それらの変更を行うのはなんとも面倒な作業だということ、2つめは、それまでにWindows Updateのデフォルト設定を変えておくべきだったということです。
2001年にWindows XP初版を出荷したとき、我々はWindows Updateの開始を発表しました。当時、ユーザーがWindowsをインストールしたときに選ぶことになっている選択肢が2つありました。1) 更新があれば通知する、2) 更新があればダウンロードしてインストールできる状態にあることを通知する(デフォルト)、この2つです。1年ほど経ってWindows XP SP1を出荷したとき、更新をダウンロードしてインストールするという3つめの選択肢を加えました。問題は、我々がこの3つめの選択肢(ほとんどの人にとって最善の選択)を加えたときにデフォルトを2つめの選択肢(ダウンロードして通知)にしたままだったことです。そうしていた理由はよくわかりませんが、おそらくは深く考える者がいなかったのだと思います。で、Ken叔父さんとの経験がどんな影響をもたらしたか? いくつかあります。まず我々はProtect Your PCキャンペーンのページ(日本語ページ)を設けて、ファイアウォールをオンにする小プログラムの提供や、自動アップデートのために3つめの選択肢をオンにする手ほどきを行いました。また、Windows XP SP2において自動アップデートのデフォルト設定の変更も行いました。
2つめの話は私の祖母、Estelleにまつわるものです(私は42歳になるが、彼女をバアちゃんと呼んでいることを明かすのはプライドが許さん、ってこともない)。バアちゃんが最初にPCを買ったのは私がMicrosoftに入って間もない、1992年のことでした。1995年に彼女は2台めのPCを買い――私はWindows 95に夢中で、彼女もそうなったのです。2001年の暮れ、私が親族全員にメールを出して、Windows XPを動かしてないかぎりPCの面倒を見ないと言ったものですから、祖母は慌ててXPマシンを買ってきていました。
2004年2月、私はフロリダにいるバアちゃんを訪ねました。出張から帰る途中だったので、そこに1日ぐらいしか居られませんでした。彼女の家に着くと彼女は、朝食を用意してくれて曾孫の最近の写真を見て、それからPCの調子を見てもらわないとと切り出しました。電源を入れてみると、おかしなことになっているのは明らかでした。マシンは非常に遅くなっていて、デスクトップアイコンの1ピクセルづつ描かれるところが見えるんじゃないかというほどでした。
彼女のマシンはスパイウェアに極度に感染していたとわかりました。彼女はオンライン調査を受けることで$10提供するというメールを受け取っていて、7回もやってたのです。彼女は調査の回答を埋めて$10請求しようとするたびに自覚のないままに、あるソフトウェアライセンス条項に合意してスパイウェアを自らのマシンにダウンロードしていました。これでは彼女は、$900したPCを70ドルで売ってしまったのと変わりません。彼女のマシンを再び動かすのには3時間もかかりました。1ヵ月後再び彼女を訪ねてマシンにWindows XP SP2(当時はベータ)をインストールしましたが、スパイウェアに関しては我々のほうがずっと大きな問題を抱えているということに気づきました。
Microsoftの対スパイウェア戦略へのビジョンと対スパイウェアソリューションを提供することへの注力は、この訪問を機に始まったんです。
今では出張するとき、バアちゃんの家で出くわしたような状況への備えをもう少しするようになっています。Windows XPのService Pack 2、Windows AntiSpyware[*]の最新ベータ、悪意のあるソフトウェアの削除ツールの今月号、これらの入った512MBのフラッシュメモリをブリーフケースに入れて持ち歩いてるんです。
* Windows Defenderのこと。2005年11月Microsoftは、Windows AntiSpywareからWindows Defenderへの改称を発表している。
(8)
未登録マシンに対するWindowsの更新?
by Spy der Mann
拝啓 MicrosoftセキュリティVP様
私の知っているある人物は、Windowsの登録をしていません。彼のPCはスパイウェアがはびこっていて、私が推測するところではおそらく、彼のコンピュータはスパム送信、ウイルス拡散、その他諸々に利用されていたと思います。彼に技術サポートを頼まれたとき、私は彼にWindows UpdateからMicrosoft Anti-Spywareをダウンロードするように言ったのですが、彼の答えは登録が要求されるというものでした。
私の質問はこうです――もしWindowsの更新がインターネットを、ハッカー、スパイウェア、ウイルスから安全なものにするなら、なぜそれを登録済みWindowsに限るんでしょうか? (私見ですが、これは鳥インフルエンザワクチンを不法滞在外国人に与えないようなものだと思います。)
これについて、どのようなプランをお持ちでしょうか?
Nash: これはいい質問で、我々が方針を定めるうえで苦心したものの一つです。まず、ひとつだけ明確にしておかなければなりません。Windows AntiSpywareはWindowsのライセンスユーザーのみに提供されますが、主に、非ライセンスWindowsシステムが感染した場合にそれがインターネットへの脅威を及ぼすのを避けるという目的から、優先度の高いセキュリティ更新はWindowsの非ライセンスユーザーにも提供しています。とはいえ、我々が非ライセンスユーザーに正規登録を呼びかけているのは言うまでもありません。
結局のところ、Microsoftの第一の責務は有償の顧客を守ることにあります。昨年1月、我々はWindows AntiSpyware技術をライセンス済みのWindowsの顧客に無償で提供するという決定を行いました。我々がGIANT Company Softwareを買収したときの計画では、スパイウェアのスキャンをMicrosoft.comの無料サービスとし、スパイウェアをブロックする技術を有料とする予定でした。頻繁なスキャンであればブロック能力に出費したくない人にとっての良い代替物になる、との考えがあったのです。対スパイウェア技術のベータを数週間運用するうちに、この仮説は成り立たないことが判明しました。というのは、スパイウェアの最初の感染を検知し除去するのは簡単だけれども、スパイウェアが他のスパイウェアを引き連れてくることはよくあり、第二第三の感染を検知・除去することはずっと難しいのです。というわけで我々はすべてのライセンス済みWindowsにブロック能力を持たせるという決定を下したのです。
ここで問題となるのは、なぜ非ライセンスユーザーをスパイウェアから守らないのか、でしょう。手短に答えるなら、スパイウェアが影響するのは主に感染したマシンだからです。ライセンス済みWindowsを所有することの価値に、スパイウェアから守られる、というのも含まれるのです。Windowsの所有にお支払いいただけなければ、保護はされません。
Windowsのライセンスを持たずに感染したあなたの知る人物に対して気の毒に思うというのは、私には無理な注文です。彼らは盗んだソフトウェアを使っているんです。Microsoftは大金持ちだから我々のソフトウェアを皆が違法に使っていようが構わないじゃないか、という理屈も耳にしています。まったく買い手のつかない話ですよ(シャレを言いたかったわけじゃなく)。他の様々なケースで議論することもできましょうが、レストランで食事して支払いをしないとかコンビニエンスストアでお菓子を万引きするとか電器屋からテレビを持ち去るとか、そういったことを我々は容認しません。今回の場合、あなたの知人はタダ飯を要求しつつ、なぜ我々がデザートをよこさないのか理解できないでいるんです。
もしあなたの知人たちが自家製の海賊版Windowsをインストールしているなら、私は彼らに正規製品を入手しインストールするよう勧告します。彼らのPCに海賊版Windowsがプリインストールされているなら、PCを売った会社について彼らに報告いただけなければなりません。我々はその情報を用いてベンダーに是正させるとともに、情報と引き換えにあなたの知人に正当なライセンスを発行いたします。
(9)
MSFT従業員参上
by Anonymous Coward
やあ、Mike、
君への質問は一つだけだ。なぜ僕らは、既知のセキュリティ問題を抱えたまま製品を出荷し続けてるんだ?
現場がどんなことになっているかを話したっていい。皆が製品を作ってる。「セキュリティプッシュ」と名のつくあらゆるものは、その終盤になって宣言される。彼らは2週間から3週間にわたり、潜在的セキュリティ問題を思いついてはそれにDREAD+VRスコア[*]を割り当てて、セキュリティに注意を払っているような振りをする。しかる後に管理者が自由裁量で「バー」を設定するが、これを下回るなら僕らは潜在的・顕在的セキュリティ問題を修正しない。このバーはたいていとても高く、8あたりに設定されることもあるが、それは見つかったすべての問題を修正する時間をスケジュール内に都合できる者がほとんどいないからだ。ちなみにDREADスコアが8というのは、欠陥が大多数の顧客に影響を及ぼし、Microsoftに重大な訴訟コストを課すことを意味している。非常に深刻なバグがバーの下をすり抜けることもあるが、それは顧客の10%以上に影響を及ぼさないってだけの理由でだ。いまや、この施行状況さえ冗談になってる。なにせほとんどの開発者が、DFDが何なのか、どれとどれをどう繋ぐのかをわかっていないんだから。
* 「Damage potential(潜在的損害)」「Reproducibility(再現可能性)」「Exploitability(悪用される可能性)」「Affected users(影響を受けるユーザー)」「Discoverability(検出可能性)」などの指標を用いるリスク算出方法。「恐怖、不安」の意である「DREAD」に5つの指標の頭文字を当てはめている。
これでも、施行状況のもっともばかげた部分じゃない。もっともばかげた部分はセキュリティ「コードレビュー」だ。機能責任者がプリントアウトの山のような束を抱えて部屋に入ってきて、これに割り当てたほんの何時間かでレビューできるような面をしてる、それが実態だよ。それだけの時間でそれだけのコードにざっと目を通すぐらいなら辛うじてできなくもないが、セキュリティ問題の90%はこの「コードレビュー」の間、見過ごされたままだ。
なんだかんだあって結局、製品はほんのわずかだけしかセキュアにならず(最高にばかげたものの一部だけが修正される)、管理者は「製品はいまやフォートノックス[*]級にセキュアだ」なんて妄想を言い出す始末。
* ケンタッキー州ルイビル近郊にある軍用地で、米連邦金塊貯蔵所がある。
僕に言わせりゃ、これは適正なセキュリティプロセスなんかじゃない、虫唾が走るようなシロモノだ。これを変えようってつもりはないのかね?
Nash: いやあこれはいい、しかしまた、難しい質問です。まず言っておかねばなりませんが、セキュリティ品質のための優れたプロセスであるセキュリティ開発ライフサイクル (SDL) は、会社として一貫性を持って行動することを確認するものとして定められています。これはつまり、高度に文書化され反復可能なプロセス、プロセスにどのように従えばよいかを伝える優れた教育、一貫してプロセスが踏襲されてることを確認するための説明責任、これらを持つということです。この説明責任の一部として存在し、実際にプロセスが踏襲されているかを会社に代わって私のチームが確認するものは、最終セキュリティレビュー (FSR) と呼ばれています。結局のところ製品を出荷する製品グループには、プロセスが踏襲されていることを確認する説明責任があるのです。
私はしばしばこんな質問を受けます。「セキュアでないコードを出荷したことで誰がMicrosoftをクビになった?」 私はたいてい、我々Microsoftはセキュリティについて今なお多くのことを学んでいる最中にある、我々が対処しているセキュリティ問題の大半はプロセスに対する不注意や軽視の結果というよりも、その時点で我々が理解していなかった攻撃の新しいベクトルとして発生するものだ、と答えています。
この取り組みを実現するうえで鍵となるものの一つは、会社全体にわたっての一貫した施行です。我々が全製品にわたって同レベルの厳格さを持っている、あるいは持たねばならないと言うつもりはありませんが(Windowsは、例えばゲームなどよりも厳密な検査を受けるべき)、我々はプロセスの適用を適切に行わねばならないのです。総体的にいえば、Microsoftの製品グループは一貫してプロセスを踏襲しています。とはいうものの、Microsoftが抱える従業員は60,000人以上にもなり、中には理解していない者がいても大きな驚きはありません。大きな驚きはありませんが、これは受け入れがたいことでもあります。我々のもとにプロセスを意識していないグループがあるなら、我々は教育問題を抱えているということになります。我々のもとにSDLを意識的に無視している、もしくは意識的に優先度を下げているグループがあるなら、よくても説明責任問題を、最悪の場合には人材問題を抱えていることになります。私が協力できる唯一の方法は、私がそれを把握し適正に対処できるようにすることです。あなたはこの質問を匿名で投稿しているわけですが、ぜひとも直接私に電子メールで連絡いただきたいし、直接会って話し合ってもよいと思います。私があなたの身元を漏らさないことは確約します。もしこれで不都合がおありでしたら、Microsoftの私の直通番号に電話してください(外線を使って――そうすれば発信者IDはブロックされますし、会議室からでも結構です)。その場合にあなたの名前を訊かないと約束します。
何度も申し上げてきたように、信頼できるコンピューティングイニシアチブは、2002年に始まりこれまで無視できない量の改善を行ってきた、一つの道程です。この事例において我々が問題を抱えているのは明らかで、我々がこれからも改善を行っていくには、この問題の修正が欠かせません。
(10)
SSLにいまだにAESがないのはなぜ?
by jonathan_lampe
なぜMicrosftのSSLスタックにはいまだにAESが入ってないんでしょうか? Microsoft開発者の一人として、SSL実装においてAES(128bit、192bit、256bit)暗号化アルゴリズムを使うことのできる競合ソリューションを見る度にやられたと思うのには、もううんざりです。
(OpenSSLや――Mozillaブラウザを入れてもいい――Java SSLは、どれも以前からAESをサポートしています。SSH実装の大半も以前から備えています。)
Nash: これはいい質問です。AESがFIPSアルゴリズムとして認定されたのは、2001年にWindows XPがリリースされた後になってからです。これをWindows XP RTMに加えるのは基本的に不可能です。我々の暗号法へのアプローチは、我々の広義プラットフォームにおいてプラガブルモデルをサポートして交換を可能にするというものでしたし、それは現在も変わっていません。IEやIISはプラットフォーム(OS)の暗号法能力に依存しており、この能力の追加は、Mozillaでなされたようなブラウザの変更に対して、オペレーティングシステムの変更ということになります。
プラットフォームへのAESサポートを断念しててもよかったのでは、というのはもっともな話ですが、プラガブルな暗号は顧客に大幅な柔軟性をもたらします。Windows Vistaについては、我々が次世代CryptoAPIもしくはCNGと呼んでいるプラガブルな暗号法のサポートを追加しています。CNGにより、AESのサポートだけでなく楕円曲線暗号 (ECC) アルゴリズムおよびSHA-2ファミリーのハッシュアルゴリズムも追加されます。
現在我々は、この能力をダウンレベルに提供することの実現可能性と利点を検討しています。加えて、既存のAES実装がこれまで評価を受けていなかったこととは対照的に、我々の実装がFIPSのガイドラインおよび要件を満たすかの評価を受けることを予定しているとも申し上げておかねばならないでしょう。
(11)
VISTAになってもユーザーは管理者でなければならない?
by arminw
現在のWindowsシステムでは、ユーザーが管理者権を与えられてないと正しく動作しないプログラムが数多くあります。MSはプログラムをそんな風に書く開発者に、普通のユーザーステータスで充分とするよう圧力をかけないのでしょうか? 最近のマルウェアの多くはひっそりと、ユーザーへの警告程度のこともせずに自らをインストールします。VISTAに何らかの警告を取り入れて、いかなる実行ファイルであっても最初の実行あるいはシステム奥深くへのインストールが可能となる前にパスワードが求められるようにはなりませんか? それらが信頼されているソースからのファイルと確認されない限りパスワードをタイプしないようにと、ユーザーに伝えるようにはなりませんか?
Nash: Windows Vistaにおける重要な機能強化の一つにユーザーアカウントコントロールと呼ばれているものがあり、それが働きかける一般的ユーザーには大げさな名前に聞こえるかもしれません。詳しく見てみるとユーザーアカウントコントロールは2つの部分からなっています。1つめはWindows Vistaに対して行われる大幅な変更であり、これによって、システムが管理権を要求すべきケースについてはシステムを保護しつつも、システムが管理権を要求すべきでない箇所で要求しないようにすることができます。ここで言わんとしていることをわかりやすく説明する簡単な例を挙げてみましょう。現在Windows XPでは、コントロールパネルの日付と時刻アプレットを開くのに管理者ユーザーである必要がありますが、今にしてみると、このアプレットを開くのにユーザーが管理者であるのを必須とすべきではない場合もあります。例えば、通常ユーザーでも時計を見ることができて当然です。さらに、(システムログの正当性を保つなどの理由から)システムの時刻の変更には管理者権限を要求すべきですが、私がシアトルからボストンに出張した場合に現地時間を間違えず会議に遅刻しないといったことのためには、私にもタイムゾーンの変更ができるようになっているべきなのです。
従ってVistaにおいて我々はそれらの機能を分離し、通常ユーザーがする必要のあることはできるようにしつつ、保護の必要なことについては管理者を要求するようにしました。
もう1つ加えられたものに、我々が被保護管理者 (protected admin) と呼んでいるものがあります。これは管理者ユーザーで動かすときのデフォルトとなっているモードです。あるユーザーが管理者に設定されていても、彼らの基本的な実行は通常ユーザーとしてのものになります。管理者権限が要求されることを彼らがしようとした場合、システムはそのタスクを実行するために管理者への昇格をしてもよいかユーザーに問い合わせて、ユーザーが同意すればそのタスクのみを昇格します(これはセッション全体を昇格するUnixにおいてのスーパーユーザをオンにすることよりもセキュアです)。タスクが完了するとこの高権限プロセスは引き剥がされます。昇格にパスワードを要求するようシステムを設定することもできます。
あなたが書かれたように、これはアプリケーションの互換性とも大きな関わりをもっており、独立系ソフトウェアベンダ (ISV) がVista向けソリューションを作成する助けとなるよう、多大な作業が行われています。彼らのアプリケーションが通常ユーザーで動くのが適切なら、その動作を確実にしなければなりません。
既存のもの(レガシーアプリケーション)についていうと、ほとんどのアプリケーションは次の4つのカテゴリーに分かれると考えられます。1) そのままでも通常ユーザーできちんと動作するアプリケーション、2) 管理者権限を実際に必要とするアプリケーション(例えばシステムユーティリティ)、3) 管理者権限をチェックするが、実際には必要としないアプリケーション、4) 機能の一部において管理者権限を必要とするアプリケーション。
通常ユーザーで動くアプリケーションについては、我々は何もしません。同様に、管理者権限を実際に必要とするアプリケーションはしかるべき条件で動作します。そういったアプリケーションに通常ユーザーが遭遇した場合、家庭(すなわち、ドメインに属さないシナリオ)で通常ユーザーは、そのアプリケーションが適切に動作するようシステム昇格を行うために、管理者権限をもっている者にパスワードを入力してもらうよう促されます。我々はこれを「肩越し」昇格ケースと呼んでいます。
管理者であるかをチェックするが実際には必要としないアプリケーションについては、そのアプリケーションの開発者が通常ユーザーおよび管理者ユーザーの両モードでのテストに時間をかけたくないため、初期化時にチェック手続きが設けられている、という状況が一般的です。我々はそれらアプリケーションの詳細なリストをまとめており、我々が把握しているものについてはソフトウェアに小さな互換性修正 (shim) をそえることで、ユーザーが管理者レベルで動かしているかのチェック時に通常ユーザーであってもシステムが応答するようにしています。ユーザーは実際には通常ユーザーのままであり、こうすることでアプリケーションの互換性を保ちつつ、不正な昇格のリスクを避けることができます。
実行の一部において管理者権限を必要とするアプリケーションについては、大半のユーザーにおいて昇格に遭遇することがなくなるようにISVに向けた手引きを提供しており、その中で、最終的に権限を必要としないと見られるコンポーネントと必要とするコンポーネントとを区別してコンポーネント化するために、どのようにアプリケーションを再構成すればよいかを示しています。
(12)
OpenBSD
by hahiss
OpenBSDが非常に少ないリソースで設計から非常にセキュアにできているのに、Microsoftのリソースを総動員してもセキュリティ問題の大波を堰き止められず、すべての者に、Microsoftのプログラムを使ってない私たちにまで影響してるってのは、どうなんだろうね?
Nash: まず最初に、OpenBSDにはWindowsに含まれている機能の比較的小さなサブセットしか含まれていないことを指摘しておかねばならないでしょう。MicrosoftはWindowsにおいて、OpenBSD Orgが彼らのOSにおいて従っているのと同じモデルに従うべきだ、と主張されるかもしれません。問題となるのは、ユーザーがOSに切実に求めているものにはリッチメディアコンテントやハードウェアデバイスなどのサポートが含まれる、ということです。OpenBSDはカーネルを強固にすることに上々の実績をあげていますが、PHPやPerlなどといった、顧客によって広く使われている重要なソフトウェアについてもセキュリティ脆弱性の監査を行っているとは思えません。我々Microsoftはソフトウェアスタック全体、つまりはWindowsのハードウェア抽象化レイヤから始まって、メモリマネージャ、ネットワークスタック、ファイルシステム、UIおよびシェル、Internet Explorer、Internet Information Services、コンパイラ(C/C++、.NET)、Microsoft Exchange、Microsoft Office、Microsoft SQL Server、その他多くの全行程に焦点をあてています。ソフトウェア企業が顧客をセキュアにすることを目標とするなら、スタック全体をセキュアにしなければなりません。一つのコンポーネントを強固にするだけでは、それがいかに重要なものであろうが、実際に顧客が抱えている問題を解決しないのです。
第2に、OpenBSDのほうがセキュアだという表現は、完全に正しいといえません。脆弱性の数は過去3ヶ月だけを比較してみても、OpenBSDが11月、12月、1月で79あったのに対して、Microsoftは11でした(加えて、そこにはOfficeとExchangeそれぞれのものが含まれています――ですからWindowsの全バージョンについては実際には9です)。OpenBSDのサイトで報告されている数をご覧になって、これが本当か確かめてみることをお勧めします。
(Mike Nashが追加した「おまけ」の質問)
Windowsと他の雇い主の違い
by eldavojohn
Nashさん、Microsoft Corp.とData General Corp.というあなたの直近の勤務先2つで、一番大きな違いと一番似ているところはなんでしょうか? これが一番訊きたいところですが、違いはあなたから見てどれだけ抜本的なものだったのでしょうか?(仕事の役割が変わったという様なことじゃなくて、一般的な違いについてです) 何が一番気に入って、何が一番いやでしたか?
Nash: いい質問です。まず、DGに働いていたのは結構前のことなんですよ(ビジネススクールに行くためDGを辞めたのは1989年でした)。とはいっても、DGは本質的にハードウェアの会社で、Microsoftはなによりもまずソフトウェア第一の会社だというのが、もっとも大きな違いに挙げられるんじゃないかと思います。DGはまず第一にハードウェア販売を事業の柱とすることに注力していて、ソフトウェアも商売上欠かせない要素だったのですが、それ自体に価値を見出しているわけではありませんでした。これと対照的にMicrosoftの基本的な前提は、どんなに難しい問題でもソフトウェアで解決するのがベストであり、さらにいうならハードウェアの力は優れたソフトウェアがあってこそ引き出される、というものなのです。
次に大きな違いは、DGがいつも他の会社との対比において自身を測っていた一方で(私がData Generalにいた頃、Digitalは一大関心事でした)、Microsoftは常に自己改革をしようとする会社だということが挙げられます。結果としてMicrosoftはより自己批判的ではありますが、それと同時に新たな機会と欠落、この両方に対処するための長期的投資も惜しみません。信頼できるコンピューティングイニシアチブがとてもよい例といえます。Blasterは登場して間もなく(Microsoft内外で)多くの人が私に、Blasterは、信頼できるコンピューティングイニシアチブが失敗したことの証しじゃないかと訊いてきました。私の反応は正反対でした。セキュリティを向上させるため時間をかけて注力してきたことに、私は心底喜んでいたのです。もしそうしていなかったら、事態はかなり悪化していたことでしょう。と同時にBlasterは、信頼できるコンピューティング (TwC) に関して我々がなさねばならない変更についての、いくつかの明確な指針を与えてくれました。何よりも、我々が学び続けるとともにTwCにも大幅な変更を加え続けなければならないことを皆に思い知らすことになり、それを計画に盛り込みさえすればよかった。このアプローチは主として企業文化から来るものであり、率直に言わせていただくと、DGの指導者が同じような視点を持っていたら今もDGとして存続していたかもしれません。Microsoftに30年以上も大きな変化と革新があった理由は、これに尽きると思います。ええもちろん、きつい仕事ですよ。
もうひと頑張りして欲しい (スコア:2, 参考になる)
「スパイウェアが影響するのは主に感染したマシンだから」非ライセンスユーザは保護しない、というのも企業の利益追求という姿勢においては間違いとは思いませんが、『Updateが間に合っていない正規ライセンスユーザ』にも(マルウェアの感染経路の役割を担って)悪影響を及ぼしかねないという事実を踏まえると、感染力・他機攻撃力の有るマルウェアからの保護にはもっと力を入れて欲しいと思います。
質問者の指摘
>これは鳥インフルエンザワクチンを不法滞在外国人に与えないようなものだと思います
は的を射ていると思いました。
ところで「優先度の高い、Windowsの非ライセンスユーザーにも提供されるセキュリティ更新」ってどこに有るんでしょう?どんな風に区別されているのか興味が有るのですが、私は専らWindows Updateに頼っているので…
--- Ikko 澤田一光
Re:もうひと頑張りして欲しい (スコア:3, すばらしい洞察)
>>これは鳥インフルエンザワクチンを不法滞在外国人に与えないようなものだと思います
>は的を射ていると思いました。
私は全然的を外した質問だと思いましたが…。
車検を通してないポンコツ車を違法に運転している人がいて、
騒音やら公害やら場合によっては交通事故を起こしていたとしても、
それが車検をタダで通す理屈にはならないわけで。
もしそこで例外を認めれば、
誰もがその例外を利用しようとするわけですし。
まず法律を違反している状態を改善しない限り、
「やり得」の社会になってしまいますよ。
それこそ某死刑囚の「絞首刑は残酷なので人権に反する」発言に近しい詭弁だと考えます。
Re:もうひと頑張りして欲しい (スコア:1)
今回の話のポイントは以下の2点だと思っています。
1.非ライセンスユーザがUpdateを使えないと、そのユーザから正規ユーザにも悪影響を及ぼしかねない。
2.非ライセンスユーザをUpdate対象とすると、そのツケが何らかの形(主にカネ)で正規ユーザに跳ね返ってくる。
TameShiniTottaさんはこれらを勘案した上で(他に考慮すべき点が有ればご指摘下さい)「非ライセンスユーザはUpdate対象とさせない方が良い」と判断された、と考えて宜しいでしょうか?であれば、その根拠をお聞きしたいです。
では「非ライセンスユーザもUpdateさせたげて」と言う私の根拠はと言うと…現時点では「なんとなく」です。
この議題を厳密に考察するなら
>ところで「優先度の高い、Windowsの非ライセンスユーザーにも提供されるセキュリティ更新」ってどこに有るんでしょう?どんな風に区別されているのか興味が有るのですが
こちらの疑問が片付いてからの方が良いだろうと考えてます。
--- Ikko 澤田一光
Re:もうひと頑張りして欲しい (スコア:0)
Re:もうひと頑張りして欲しい (スコア:0)
ユーザーに益を与えるのもやむを得ず、ということもあるかと。
Re:もうひと頑張りして欲しい (スコア:0)
# もちろん更新内容によるけど
Re:もうひと頑張りして欲しい (スコア:0)
非ライセンスユーザにはUpdateさせるべきだとは思えない。
非ライセンスユーザが、ライセンスを持たないことによってUpdateできず
スパイウェア等によって悪影響を及ぼされているとしたら、それは
そのユーザの因業というもの。
たしかに正規ユーザからは
> 1.非ライセンスユーザがUpdateを使えないと、そのユーザから正規ユーザにも悪影響を及ぼしかねない。
のような問題があるけれども、そもそも「Updateできないから感染した/除去できない」
Re:もうひと頑張りして欲しい (スコア:1)
そうですかね?他の事は知らないけどとりあえず自分に危害が及ばないようにして欲しい(⊂踏み台とかに利用される連中に減って欲しい)ってのは有りがちだと思いますが。
>「Updateできないから感染した/除去できない」「Updateしていれば感染しない/除去できる」であるなら云々
それでは解決しない場合も有りますよね。例えばnimdaのネットワーク占有。あのように「感染したマシンがネット上に存在するだけで有害」になるマルウェアに対抗するUpdateは、非ライセンスユーザにも提供されるのが望ましいと思います。
で、その辺りがNashの言う「優先度の高いセキュリティ更新」に入っているなら、問題ないわけですが…
(#960211)のACさんの情報で、そうであると期待しても良いのでは、と思えました。
というわけで回りくどくなりました(スミマセン)が、とりあえず現状のMSの方針(優先度の高いセキュリティ更新は非ライセンスユーザにも提供)に賛成する事しました。
--- Ikko 澤田一光
限定付きで賛成 (スコア:0)
であれば、Update提供は有益だと思われます。
但し、そのUpdate内容が「ライセンス購入まではネットワークに接続して使用できるのはWindowsUpdateだけです」て内容でアップデートされても良いのであれば。
非ライセンスユーザーの負担をMicrosoftに、つまりは最終的にはライセンスを行っているユーザーに求めるってのはどうかと。
大体、Updateできる環境ならその場で登録出来るんだから。
Re:もうひと頑張りして欲しい (スコア:1, 参考になる)
自動更新で入ります。なので
> 『非ライセンスユーザ用ダウンロードコーナーはこちら』とかそれに類するリンク
はそもそも必要ありません。
Re:もうひと頑張りして欲しい (スコア:1)
>私は彼にWindows UpdateからMicrosoft Anti-Spywareをダウンロードするように言ったのですが、彼の答えは登録が要求されるというものでした。
はあくまで「Microsoft Anti-Spyware」限定の話ね。その他セキュリティ更新は必要に応じて認証無しに取得できるわけですか。ありがとうございます。参考になります。
--- Ikko 澤田一光
Re:もうひと頑張りして欲しい (スコア:1)
>どんな風に区別されているのか
の検証ができませんね。何か情報有りましたらお願いします。
--- Ikko 澤田一光
Re:もうひと頑張りして欲しい (スコア:1, 参考になる)
> 登録が要求される
というのはこのことを指しているのでしょう。
自動更新の場合は、WGAのチェックがされない(=非ライセンスユーザーにも提供される)ということです。
より詳しくはWGAで検索してみてください。
Re:もうひと頑張りして欲しい (スコア:1)
Microsoft Update およびその他のサービス : よく寄せられる質問 [microsoft.com]
というページを見つけました。
ここによると”自動更新で提供されるのは優先度の高い更新プログラム”との事ですが、これってWindows Updateとかで「優先度の高い更新プログラム」に表示されるのと同じ物?だとしたら非ライセンスユーザでも、(Anti-Spywareは入らないが)ほぼ全てのセキュリティパッチはあてられるって事でしょうか。なるほど。
# どなたか 参考になる モデを…
--- Ikko 澤田一光
Re:もうひと頑張りして欲しい (スコア:1)
>(マルウェアの感染経路の役割を担って)悪影響を及ぼし
>かねないという事実を踏まえると、感染力・他機攻撃力の
>有るマルウェアからの保護にはもっと力を入れて欲しいと
>思います。
正規ユーザにも悪影響を及ぼしかねないマルウェアに関する
削除ツールや修正パッチは、たとえ海賊版を使用する盗人
であっても、その者にも提供するというように答えていると
感じましたが違いますか?
Re:もうひと頑張りして欲しい (スコア:1)
当初、「Windows Updateと自動更新は同じくライセンスをチェックしている」(※)と勘違いしていたので、
登録していないとWindows Updateが使えない
=自動更新も使えない
→「優先度の高いセキュリティ更新はWindowsの非ライセンスユーザーにも提供しています」とは言っても、ダウンロードセンター等から自力で探さなければいけないのでは脱落してしまうユーザが多いだろう
と考えました。それじゃ詰めが甘い、どうせ配布するならWindows Updateのサイトで誘導くらいあってもいいだろう、と言ったのが最初のコメントです。が、実際には自動更新によって非ライセンスユーザも手軽にアップデート出来る環境が整っており、見当外れの指摘であった という事が(#960141)の以降のACさんの指摘で分かりました。
※…それどころか、実は自動更新はWindows Updateと全く同じ物だとばかり思ってました。最初のコメントの「私は専らWindows Updateに~」も「自動更新に」の間違いです(恥
--- Ikko 澤田一光
頑張るというか (スコア:0)
# カスタマーサポートから送られてくる
# 定型文メールとあまり変わらない気がする。
OpenBSDの脆弱性の数 (スコア:2, 参考になる)
時間がないので精査はしていませんが、CVE [mitre.org]で検索してみても、"Microsoft Windows" [mitre.org]だと2005年に52件、2006年はこれまでに41件なのに対し、"OpenBSD" [mitre.org]だと2005年に5件、2006年はこれまでに5件となるのですが。
ちなみに
となっています。Re:OpenBSDの脆弱性の数 (スコア:1)
Re:OpenBSDの脆弱性の数 (スコア:0)
#それでも BSDの数の根拠は不明ですが
ユーザインタフェースを考える (スコア:1, 興味深い)
ストーリー分けると議論の場所が分かれてしまうんじゃないかという懸念もありますが、長大な記事をずらーとスクロールさせないと議論が読めないというのは使いにくいです。
#タレコミ部分は一回(+α)精読すれば済むけど、
#議論(個々のコメント)部分は何度も見ることになると思うわけで。
Re:ユーザインタフェースを考える (スコア:0)
せめて1ページに終わる内容に編集するなりして、続きはこっちとか、
TOPでさえある程度省略した内容になっているのと/.J自体議論系サイトなのに
全文を掲載してコメントがこんな見難くなっているのはサイトの意義をかなり失っている気がしますよ…。
# kamikazeさんという立派な名前にあったことを特攻してくれてますね;-)
Re:ユーザインタフェースを考える (スコア:2)
o kazekiri
だと思う。
Re:ユーザインタフェースを考える (スコア:0)
Re:ユーザインタフェースを考える (スコア:3, すばらしい洞察)
Re:ユーザインタフェースを考える (スコア:1, 興味深い)
/.-Jのユーザが中心となってwinnyの開発者である金子氏に質問を行って、その回答をアメリカ版/.に掲載したとしてもアメリカではあまり盛り上がらない(かもしれない)のと同様でしょう。
翻訳おつかれさまです. (スコア:1)
Q&Aにもありましたけど,上層がこう考えていても,常に下層まで遍く伝わっているとは限らないというだけでも価値がありました.
最近のMSはそれなりに信用できているので,今後も続けていけるか,発達していけるかが見どころでしょうか.
# 次は日本独自のインタビューができたらいいんですが,言い出しっぺの法則?
M-FalconSky (暑いか寒い)
Re:翻訳おつかれさまです. (スコア:0)
内容的には目新しいものはなく、都合の悪い質問は巧みに論点をずらし、Vistaの売り込みに終始していますし。
わざわざこんな長文を翻訳するとはMicrosoft関係者ではないかと勘ぐってしまいます。
モデレータの評価も都合の悪い発言が片っ端から蹴落とされているのも不気味です。
さて内容だ (スコア:0)
「虫唾が走るようなシロモノだ」
MS-IME2003は、虫酸よりも虫唾を先に出してくる、虫唾が走るようなシロモノだ。
歴史的には虫唾の方がいいかもしれないが、用例は減っている。
そう言いつつも (スコア:0)
要約すると (スコア:0, 余計なもの)
(1)セキュアなOSが欲しいならVistaへ移行しなさい
(2)何をデフォルトで有効にするか決めるのはMSの自由です
(3)いまだXPをSP2にしていない企業はクソッタレです
(4)オープンソースからは何も学ぶことがありませんでした
(5)セキュリティに万能薬はありませんが前向きに善処しています
(6)IEの統合は独占禁止法違反ではありません
(7)Windowsの自動更新がデフォルトで有効となってしまったのは私の叔父のせいです
(8)不正ユーザーから受ける攻撃などMSの知ったことではありません
(9)内部告発ならまず身元をこちらへ伝えなさい
(10)AESを使いたいならVistaへ移行しなさい
(11)VistaはUnixよりセキュアです
(12)OpenBSDはWindowsのサブセット程度の存在です
大言壮語な事を長々と並べ立てているけど、結局は毎度のMS論理の繰り返しですね。
Re:もすこしがんばって要約しようぜ! (スコア:0)
MSFT従業員:
上の連中はセキュアセキュアとえらそうに言うけれど、現場じゃいまだに脆弱性に目をつぶって製品出荷していて、脆弱性の修正のためにスケジュールが変更されることもない。
こんなプロセスは糞じゃね?
Nash:
・会社として一貫したプロセスを実施することが大事だ。
・開発チームはプロセスを実施していることを説明する責任がある。
・セキュリティ問題はプロセスへの不注意や軽視から発生するのではなく、未知の攻撃から発生する。
・プロセスを守るように教育に力を入れる。
# プロセス自体に問題があるという質問なのに、解答になってないように見えるのは気のせい?
# しかしコードレビューはワロタ。どこかの国の構造計算書といっしょだな。
同じことをいえるんだろうか? (スコア:0)
逆に、LinuxカーネルをGPLに従わず組み込んで使っている上に、
バグがあった時に、おまえら直せ、とか言われてもいいってことですかね?
話が違う (スコア:0)
#というか、前者の解釈はどう考えてもむちゃくちゃだろう
ファイアウォールのデフォルト設定 (スコア:0)
(2)で、ファイアウォール(パケットフィルタ)がデフォルトでOnだったら、
SlammerやBlasterを防げたかもしれないとか言ってますが、
ファイアウォールは所詮サービス(臭い物)に対するフタに過ぎないわけで、
本来ならファイアウォールをデフォルトでOnにするのではなく、
不要なサービス(MSDEやRPC)をOffにするのが筋なんじゃないですかね。
ファイアウォールでフタをしてしまうと、
そのサービスは外部からのアクセスが遮断されて機能しないわけですし、
前半の「ほとんどのユーザーが使っている機能でないかぎりデフォルトでオフにすべき」という
話の流れにそぐわないと思うのですが。
Re:ファイアウォールのデフォルト設定 (スコア:1)
RPCはともかく、内部に対するサービスとしてMSDEはありえますし、Unix系でも自分自信へのサービスとしてネットワークで待つアプリもあります。
で、MSのファイアーウォールはTCPスタック組み込みみたいなものなので、全体的な判断として「FWはONにしておくべきだった」ということでしょう。
# それ以上に*未知*の脆弱性は常に存在する可能性があります
# サービスがなにもopenになっていなくても、スタック自体の脆弱性も考えると、キチンとフィルタしたい所です。
M-FalconSky (暑いか寒い)
Re:ファイアウォールのデフォルト設定 (スコア:0)
ルーティングとリモート アクセスの脆弱性により、リモートでコードが実行される (911280) (MS06-025) [microsoft.com]
そのパケットフィルタリング機能(RRAS)によっても致命的な脆弱制が産まれているわけですが。余計なサービスはデフォルトでOFFを心がけて欲しいものです。
Re:何のための編集者なんだか… (スコア:4, すばらしい洞察)
Microsoftのセキュリティや開発の方針が今どっちを向いているのか
ということに興味がある人には十分面白い記事ではないかと思いますよ。
元々この記事の原文自体が本家でMicrosoftのSecurity VPに質問しようというところから
派生しているので、本家の方では順調に議論は進んでいます。
結局、/.JにはMSの動向なんて茶々を入れくらいしか興味がないという人が
多いってことじゃないでしょうか。
Re:何のための編集者なんだか… (スコア:1, すばらしい洞察)
Re:何のための編集者なんだか… (スコア:0)