2 月 13 日に情報セキュリティ月間の一環として Windows XP サポート終了に関する説明会を行いました。経済産業省、JPCERT/CC、主要なセキュリティ ベンダーにご登壇いただいた結果、多くの記事に取り上げて頂くことができました。これまでサポート終了に関して、正確な情報をお持ちでなかった方にも、広く知っていただく事が出来たのではないかと思います。
一方で、自社製品のサポート終了を、そんなに一生懸命宣伝しなくても良いのではとの考えもあると思います。サポート終了に関する一連の活動は、弊社が 2002 年以来取り組んでいるTrustworthy Computingの原点となっている、SD3+C という考え方に基づいて実施しているものです。今回は、SD3+C と一連の活動の関係についてご紹介します。
SD3+C
マイクロソフトでは、製品やサービスを安全にご利用いただくことを目指した、Trustworthy Computingという取り組みを続けています。Trustworthy Computingは、セキュリティ(Security)、プライバシー(Privacy)、信頼性(Reliability)、ビジネスプラクティス( Business Practices)の4つの要素が柱となっています。
Trustworthy Computingの重要な取り組みの一つに、製品の安全性を高めるためのSDL (Security Development Lifecycle) があります。この SDL のベースとなっているのが、今回取り上げている 3D+C という考え方です。
Secure by Development
Secure by Default
Secure by Deployment
+Communication
以下に、SD3+C の要素を見ていきましょう。
Secure by Development
開発段階でセキュリティを確保するというのは、当たり前のように思われますが、実際には検査の段階で、対策をする方が一般的だと思います。
マイクロソフトでは、Windows 2000 に多くのセキュリティ関連の機能を追加したにも関わらず、検査時に不具合が続出したことから、セキュリティに対する取り組みが始まります。エンジニアに対するセキュリティ教育を実施し、製品に対する侵入検査(Penetration Test)も行い、発見されたセキュリティ上の問題が解決するまでは出荷をしないという方針をとりました。この取り組みは一定の成果を上げました、残念ながら、十分なセキュリティ レベルを確保することは出来ませんでした。
この経験を踏まえて、Windows Server 2003 の出荷では、セキュリティ プッシュという活動を行いました。1 万人以上の開発者が、開発を止め、セキュリティの教育を受け、セキュリティに関する検査を行いました。2002 年 2 月までの予定で始まったセキュリティ プッシュは、2003 年 3 月まで延期が繰り返されました。つまり、検査の段階でセキュリティを確保しようとすると、漏れがあるばかりではなく、多大なコストがかかることに加え、出荷の予定も流動化することが明らかになりました。
このような経験を経て、より上流でセキュリティを作り込むことが重要だと判断し、設計段階や開発段階でセキュリティを確保するという SDL につながっていきます。
Secure by Default も、マイクロソフトの苦い経験に基づいて得た結論です。
Secure by Default
PC が普及する過程においては、すぐに使える状態で出荷するという方針が取られていました。このためWindows 2000 などでは、インターネット インフォメーション サーバー (IIS) という Web サーバーが稼働する状態で出荷されていました。そして、2001 年 7 月 13 日に感染を始めた CodeRed は、この IIS の脆弱性 MS01-033 (2001 年 6 月 18 日に公表) を標的として感染を広げました。利用者が IISが 稼動していると思っていなかったサーバーがCodeRedに感染をしたことが、CodeRedの対策を難しくしました。
また、Windows XP Service Pack 1 までは、Windows ファイアウォールはデフォルトでは無効になっていました。ところが、2003 年 8 月 11 日に感染を始めた Blaster ワーム (MS03-026、MS03-039) の活動により、インターネットに接続をしていると PC がリブートしてしまい、対策に必要なセキュリティ更新プログラムも、セキュリティ対策ソフトウェアの更新も出来ないという事態となりました。
このため、2004 年 9 月にリリースした Windows XP Service Pack 2では、Windows ファイアウォールをデフォルトで有効にするように修正し、さらに 2008 年 4 月にリリースした Windows XP Service Pack 3では、アウトバンドの通信でも Windows ファイアウォールを有効にしました。
Secure by Deployment
CodeRed を経験するまでは、セキュリティ更新プログラムを提供すれば提供元としての責任は果たしていると考えていました。実際、CodeRed が利用した脆弱性は、前月の Windows Update において更新プログラムが提供されていたものです。
しかし、CodeRed の感染によって、対策を提供していても、利用者がこれを適用しなければ、利用者を守ることも出来ない事が明らかになりました。
このため、Windows Update, Microsoft Update, WSUS (Windows Software Update Services) の提供などを通じて、できるだけ自動的、かつ簡単に更新プログラムを適用できるように取り組んできました。そして、Windows Vista 以降では、Windows Update (Microsoft Update) の設定は、デフォルトで有効となっており、より確実に更新プログラムを適用していただけるようになっています。
セキュリティ更新プログラムは逐次提供を行っていましたが、計画的な更新プログラムの適用していただけるように 2002 年 5 月からは毎週火曜日 (米国時間) に合わせて公開をするように見直しを行い、2003 年 11 月からは各月の第 2 火曜日 (米国時間) に公開するように変更しました。
また、日本では2007年から、公表と同時に報道関係者を対象とした更新プログラムの説明会を通じて、正確な情報をお伝えできるように努めています。
+Communication
そして最後の Communication です。
マイクロソフトは、一歩一歩ではありますが、セキュリティ面の強化を進めてきました。しかし、これを知っていただかない事には安全に使っていただけません。正確な情報を伝える必要があります。一連の Windows XP サポート終了に関する周知活動も、正確な情報を知っていただくために実施しています。
サポート終了をご存知のない方には、サポートが終了すること、そして、どのような影響があるかを知っていただきたいと考えています。これにより、サポート終了までに移行が間に合わない場合でも、移行計画を策定するなど、具体的な計画を立てて頂く事が出来ると考えています。
また、今回セキュリティベンダー様から、セキュリティ製品を使っていても、必ずしも万全ではないというお話もしていただきましたが、これも正確な情報を知っていただくためには重要なメッセージだと考えています。
むすび
Windows XP は、2014 年 4 月 9 日 (日本時間) のセキュリティ更新プログラムが最後の更新プログラムとなり、その後のセキュリティ更新プログラムの提供は予定されていません。
実際に観測されている攻撃の大半は古い (数か月~数年前) 脆弱性を狙うため、更新プログラムを適切に適用することが、安全な IT 利用に大きく寄与します。しかし、サポートが終了すると、更新プログラムが利用できなくなり、徐々に(もしかすると急激に)、防ぐことが出来ない攻撃が増えていくものと考えられます。
サポートが終了する前に、最新のシステムへの移行をご検討いただき、間に合わない場合でも移行計画を策定し、できるだけ早く移行していただきたいと思います。