マイクロソフトのセキュリティ対策チームの方々に先日お会いする機会がありました。
そこで、戦略的な点について、次のことをお願いしました。
- 1.より広い層へ
-
評価できる取り組み:
告知方法の充実 (メール, Web、雑誌)
告知内容の改善 (絵で見るセキュリティ)
カバーが弱い層:
高齢者、地方在住者
コンピュータに関心のない方
マスコミに情報源を依存している方
意識:
脆弱性は、リコールと同じ
すべてメーカー、マイクロソフトの費用で対策すべき
ワーム、ウィルスがいっぱいの Windows。
そうそう 「TV でいってた、あれ、だいじょうぶ ?」。
希望:
a. TV / マスコミ向け記者会見の実施
* 脆弱性/修正プログラム提供時
* ワーム発生の可能性が高まっているとき
* ワーム発生時
* ワーム沈静化まで随時
マイクロソフトでのストリーミング配信も実施
b.Windows Update 自動更新をデフォルト
c.ICF デフォルト ON
ICF ON 状態で運用するための情報提供
c.1 : LAN Server-Client 環境向け
c.2 : LAN Client でのファイル共有環境向け
c.3 : ISV, Developer 向け自作アプリケーション
の ICF 対応方法
d.接続時自動更新
ネットワーク接続時に、自動更新し、完了後にネットワーク利用を許可。
※更新完了前の感染を防ぐ
e.修正されていないコンピュータからの接続を拒否
サーバー上のサービスは、クライアントの修正プログラム適用が不足している場合、
接続を拒否できるようにする
- 2.Windows Update の充実
-
評価できる取り組み:
Windows Update の充実
自動更新, SUS の無償提供
MBSA, HFNETCHK の提供
Windows Update での不満:
修正プログラムで別の問題が発生
修正プログラムが適用できない
Office, SQL などに対応していない
リブート頻度が高い
希望:
a.アンインストール機能必須
Office Update は、アンインストール機能がない
b.リブートを徹底的に減らす
c.Microsoft Update へ
すべてのマイクロソフト製品をWindows Update へ統合
d.回避のみの自動設定
修正プログラム適用ではなく、回避設定のみ、行う機能
ポートの閉鎖, IE/OE のセキュリティ制限
e.ICF の機能強化
ネットワーク経由の攻撃パケットを ICF にてフィルタリングする機能の実装
- 3.デフォルトセキュアの浸透
-
評価できる取り組み:
全製品でのデフォルトセキュアの取り組み
デフォルトセキュアに対するヒアリング
利用者のサービスとセキュリティの意識の向上
デフォルトセキュアでの不満:
想定以上の機能が提供されている
使っていない機能でのセキュリティ対策を求められる
例1: ブラウザの ActiveX は、FlashとAcrobat だけに限定したい
Office などのヘルパアプリは、すべて OFF
例2: SQL Server の public ユーザーにレジストリ読み取り権限がある
希望:
a.利用者、管理者が必要なアプリケーションを選択できる
脆弱性発生時、アプリケーションを無効にできる
b.SQL Server も含めた対策
マイクロソフトの方々は、ブラスタ対応をとおして、これまでのセキュリティ対策では
不十分であることを真摯に受け止めています。
どうすればいいのか、全社的に考え直しています。
そのようなときだからこそ、どんどんマイクロソフトと対話して、意見をいっていきたいと思います
