本記事は、Trustworthy Computing のブログ “The time is now. Security Development Must be a Priority for Everyone” (2013 年 5 月 14 日公開) を翻訳した記事です。

投稿: マイクロソフト Trustworthy Computing (信頼できるコンピューティング) 部門、ソフトウェア セキュリティのパートナー ディレクター、Steve Lipner (スティーブ リプナー)

マイクロソフトがセキュリティ開発ライフサイクル (SDL) を実装してから約 10 年が経ちました。その間に非常の多くの変化がありました。過去 10 年間で、インターネット利用ユーザーは約 3 億 5,000 万人から 24 億人以上になりました。現在、開発者にとってかつてないほどの機会が横たわっています。Windows 8 はまだ比較的新しく、クラウドは導入の初期段階にあり、新しいモバイル デバイスやプラットフォームは急増しています。インターネットによって新しい機会とビジネス形態が多数作られた一方で、オンライン犯罪のデジタル アンダーグラウンドも生み出されました。今日のコンピューティング状況において、財政面に影響したり、知的財産の損失や Web サイトの改変、スパイ行為につながったりするセキュリティ侵害が現実のものになりました。

私が話したことのある開発者の多くは大抵、セキュリティ開発の重要性を認識していました。それにもかかわらず、大多数の組織が基本的な専門領域としてセキュリティ開発をまだ導入していないことを示す証拠があります。マイクロソフトは最近、世界中の 2,200 人以上の IT プロフェッショナルと 490 人の開発者に対して調査を行いました。この調査で、セキュリティを考慮して製品やサービスを開発している組織であると回答した IT プロフェッショナルはわずか 37% でした。さらに、開発者の 61% が、ASLR、SEHOP、DEP などの既に存在する緩和技術を活用していませんでした。これらの緩和技術は長年 IT 業界で自由に利用できるようになっており、多くの場合、既存の開発プラクティスに簡単に追加できるのにもかかわらず、少数の開発者しか活用していません。私はこのことを懸念しており、これはインターネットを利用するすべてのユーザーにとっての懸念事項となるべきです。

さらに、この調査では、組織がセキュリティ開発プロセスを導入する妨げとなっている最大の障害物が、1) 管理承認の欠如、2) トレーニングとサポートの欠如、3) コストであることが明らかになっています。最近、セキュリティ開発会議において、マイクロソフトとその他の企業は、これらの障害を取り除き、セキュリティ開発を導入する際のギャップを埋めるための対策を講じました。

管理承認 - 標準化とコンプライアンスによって、管理承認に関連する障害の多くを克服することができます。国際標準化機構 (ISO) と国際電気標準会議 (IEC) は、セキュリティ開発プロセスに関する標準が必要であると認識し、ISO/IEC 27034-1を公開しました。この新しい国際標準は、包括的なソフトウェア セキュリティ プログラムの構築に必要なプロセスとフレームワークに焦点を当てた初めての標準です。ISO/IEC 27034-1 は、セキュリティを正しい方向に向かわせる重要な一歩であり、組織に多くの可能性をもたらします。マイクロソフトはセキュリティ開発におけるこの重要なマイルストーンを認識し、本日、適合宣言を通じて、マイクロソフトの SDL が ISO 27034-1 に適合していることを発表しました。この標準に公に適合することによって、マイクロソフトが、セキュリティ開発に専心しようとする他の企業の見本となることを願っています。

• ソフトウェアを開発または販売する企業にとって、この標準は、セキュリティ開発プラクティスの共通の評価言語を提供し、セキュリティ開発フレームワークを導入するための単純明快な概要を示し、市場で競争力を持つための差別化要因となります。

• ベンダーからソフトウェアやサービスを購入するお客様にとって、この標準は、業界、プラットフォーム、地域全体でのセキュリティ開発を要求する購入者の単一の「言語」を提供します。

ISO 27034-1 の詳細については、最近公開された「ソフトウェア セキュリティ標準の登場: ISO/IEC 27034-1:2011 と組織 (The emergence of software security standards: ISO/IEC 27034-1:2011 and your organization)」というタイトルのホワイト ペーパーをご覧ください。これは、マイクロソフトの依頼で Reavis Consulting Group, LLC によって発行されたホワイト ペーパーです。 

多くの業界が、インフラストラクチャをセキュリティで保護したり、業界の規制に適合させたりするために苦戦しています。この課題に取り組んでいる業種の一例として保健医療業界が挙げられます。最近、マイクロソフトは「保健医療業界における安全なソフトウェアの動向 (Secure Software Trends in Healthcare)」というタイトルのホワイト ペーパーも公開しました。このホワイト ペーパーは、保健医療業界の課題について説明し、SDL によってもたらされる良い影響について実証しています。

トレーニングとサポート - マイクロソフトは、SDL プロセスの自動化と強化を支援し、効率性を高め、SDL を実装しやすくするために、SDL for Agile、脅威のモデル化ツール、Attack Surface Analyzer など、ダウンロード可能な無償のツールとガイダンスを SDL Web サイトで提供しています。お客様の実装をお手伝いするため、マイクロソフトのパートナー ネットワークには、SDL に基づいたセキュリティ開発プラクティスの導入を支援するメンバー企業が多数名を連ねています。これらのリソースに加えて、Software Assurance Forum for Excellence in Code (SAFECode) で、セキュリティ開発に関する無料の新しいオンライン トレーニング コースが最近発表されました。

コスト - 最後になりますが、IT プロフェッショナルと開発者は、セキュリティ開発フレームワークの導入における大きな障害としてコストを挙げています。しかし実際には、このプロセス記述型の安全なコードの実装によってもたらされる利点は、セキュリティで保護された製品だけではありません。これは、実質的なコスト削減にもつながります。Aberdeen Group の調査によると、「Secure at the Source」(マイクロソフトの SDL に似ています) 戦略を導入した企業は、アプリケーション セキュリティの年間投資額に対して 4 倍という強力な収益率を実現していることもわかっています。Forrester は、SDL を実践している企業では全体に比べて明らかに優れた投資収益率が報告されていると述べて、この調査結果を裏付けています。

今日、アプリケーションの数は増加しており、開発者の仕事が不足することはありません。
そして、開発者にとって競争も激化しています。新しいソフトウェア製品やアプリはすべて、競合製品と戦わなければなりません。この状況は以前にも発生し、市場初として製品を投入したり、驚異の機能で目立たなければならないという商業上の圧力によって、セキュリティが二の次になることが非常によくありました。しかし、今回はそうならないことを願っています。サイバー犯罪は、残念なことに実際によく発生している脅威であり、それが個人や組織に与える影響は十分に理解されています。 結果として、ソフトウェアを使用する組織はより安全なソフトウェア製品を要求しなければならず、開発者はその要求を満たして競争力を維持するために、セキュリティ開発を実装する必要があります。 

マイクロソフトのセキュリティ更新プログラムは多い印象があるという声を耳にします。今回は改めて、マイクロソフトのセキュリティ更新プログラムの公開プロセスやこれまでの歩みについてまとめてみます。

毎月 1 回「パッチ」の日

マイクロソフトは、毎月第 2 火曜日 (米国時間) にセキュリティ情報 (セキュリティ更新プログラム) を公開しています。ひと月はあっという間に過ぎ、また今月も新しいパッチが…と、管理者にとっては絶え間なく感じるかもしれません。数で見ると、2013 年は計 106 件 (月平均 9 件)、2014 年は 7 月までで 42 件 (月平均 6 件) のセキュリティ情報を公開しました。

図 1: 公開したセキュリティ情報の製品別内訳

では、視点を変えて、マイクロソフト製品の脆弱性は多いのか？ National Vulnerability Database (NVD) のデータによると、2013 年では、業界全体で 5,000 件程の脆弱性が発見された中、マイクロソフト製品の脆弱性は 7% 程度でした (図2)。

図 2: 2011 年上半期 - 2013 年下半期 ベンダー別脆弱性公開数 (*出典：SIR 第16版)

脆弱性の取り扱いやセキュリティ更新プログラムの公開タイミングについては、「近くて遠くて、古くて新しい、脆弱性ハンドリングとゼロデイ対策」で説明していますのでご覧いただきたいのですが、これら脆弱性を「まめ」に修正するか、半年や 1 年毎にまとめて修正するか、また、お客様保護のため、公開に伴い積極的に情報やガイダンスを提供するか否かによっても、受け取る側の印象は違ってくると思います。マイクロソフトでは、お客様が脅威に晒されないことを担保しつつ、管理者負担を考慮して、現在の月例での公開に落ち着いています。

月例公開への道のり

セキュリティ更新プログラムの提供は、インターネット時代が到来して間もなく 1998 年 6 月に始まりました (図 3)。当初は、更新プログラムの準備ができ次第、随時公開していましたが、この形態では企業の IT 担当者が予測出来ず、更新プログラムの適用率が上がらなかったため、2002 年 5 月からは毎週水曜日（米国時間）の公開へと変更しました。しかし毎週では負担が大きいことがわかり、2003 年 11 月には現在の毎月第 2 火曜日（米国時間）の公開に変更。そして、2004 年 11 月からは、事前に適用計画を準備できるようにと、セキュリティ情報公開の 3 営業日前に事前通知を提供し始めました。月例公開にして 10 年以上経ちますが、お客様からの反応は全般的に良好で、より効果的にセキュリティ更新プログラム適用計画や人員確保を行えるという声をいただいています。

図 3: セキュリティ情報公開サイクルの歴史

セキュリティ更新プログラム公開までのプロセス

MSRC (Microsoft Security Response Center) では、世界中の研究者やパートナー、政府機関、社内から脆弱性情報の報告を受け、ハッカー サイトやセキュリティ カンファレンス等では未知の脆弱性を公開していないかを監視しています。また、24 時間 365 日マルウェアを収集・分析する MMPC ラボでは、未知の脆弱性を悪用する検体があるかを確認しています。

図 4: セキュリティの脆弱性を確認してから公開するまでのプロセス

脆弱性と確認されると、脆弱性の内容により深刻度を決定し、また、お客様に及ぶ可能性のある影響に基づいて優先度を割り当てます。緊急性の高いものやゼロデイなどの場合は日単位や週単位でセキュリティ更新プログラムの公開まで至るケースもありますが、優先度の低いものは数か月といったスパンでセキュリティ更新プログラムの作成を行います。1 つの更新プログラムでなるべく多くの脆弱性をまとめて修正するなどの努力をしています。

セキュリティ更新プログラムの作成が終わると、品質確保のため、複数レベルに亘り厳しく広範なテストを行います (図 5)。機能や依存性の確認、何千ものサードパーティ ソフトウェアとの互換性検証などを行い、ランダムに抽出した社員の PC に適用して実務利用で問題がないかの確認や、セキュリティ更新プログラム検証プログラム (SUVP) では契約顧客やパートナー顧客の環境で、自社アプリとの互換性検証など、マイクロソフトだけでは行えない幅広い検証をお願いしています。

図 5: セキュリティ更新プログラムの品質テストのステージ

このテストを通過すると、月例のサイクルに合わせて、セキュリティ情報やガイダンスとともに、セキュリティ更新プログラムを公開します。

Windows Update で常に最新に

特に個人のお客様には、透過的にセキュリティ対策が成されるよう、Windows Update によるセキュリティ更新プログラムの自動配信を行っています。これにより毎月意識することなく最新のセキュリティ更新プログラムが適用されます。企業のお客様には、Windows Server Update Services (WSUS)、Systems Management Server (SMS)、System Center Configuration Manager などの管理ツールを提供していますが、今年 5 月からは、MyBulletins (英語提供のみですが日本のお客様でもご利用いただけます。マイクロソフト アカウントが必要です) というサービスを提供開始し、IT 管理者が自社環境にあるマイクロソフト製品に関するセキュリティ情報のみを表示させ、公開日や深刻度、再起動の有無等でソートして優先順位を決定するなどが行えるようになっています。マイクロソフト アカウントとリンクしているため、カスタマイズした情報や設定はダッシュボードとして保存されます。MyBulletin はお客様のフィードバックを基に開始したサービスですが、ご興味のある方は一度お試しになってください。

おわりに

マイクロソフトは、1998 年からの継続的な更新プログラムの提供および透明性の高い情報公開に加え、2002 年からの Trustworthy Computing (TwC) (信頼できるコンピューティング) により、脆弱性のない製品作りや多層防御による製品セキュリティの向上などに努めてきています。また、業界や関連企業と連携し、より迅速かつ強固にお客様を守る体制作りをしており、脆弱性対策やセキュリティ対策が最も進んでいる企業の 1 つとして継続的に努力しています。

世の中から犯罪をゼロにすることができないように、人の作るソフトウェアの脆弱性をゼロにすることはできませんが、日頃からセキュリティ更新プログラムの適用や適切なセキュリティ製品の利用、またセキュリティに対する意識を高く持つなどの備えをすることで、安心安全なデジタル ライフを楽しんでいただければ幸いです。

本記事は、Security Tips & Talk のブログ “Windows Defender and Microsoft Security Essentials: Which one do I need?” (2013 年 11 月 14 日公開) を翻訳した記事です。

Windows Defender Offline の概要、手順は「Windows Defender Offline 概要」で図解していますので、ぜひご覧ください。

Eve Blakemore (イブ・ブレークモア) - マイクロソフト

コンピューターで実行しているオペレーティング システムに応じて、Windows Defender または Microsoft Security Essentials を使って悪意のあるソフトウェアやウイルスを駆除できます。

Windows 8 の場合は、組み込みの Windows Defender がウイルスやスパイウェアなどのマルウェアの駆除に使えます。Windows 7、Windows Vista、または Windows XP の場合、Windows Defender はスパイウェアの除去しかできません。Windows 7、Windows Vista、Windows XP で、スパイウェアも含め、ウイルスやその他のマルウェアを駆除するには、Microsoft Security Essentials を無料でダウンロードできます。

Windows 8 では、Windows Defender が Microsoft Security Essentials の代わりになっている

Windows 8 または Windows RT では、Microsoft Security Essentials を使用できませんが、既に Windows Defender に組み込みの保護機能があるため必要ありません。

Windows Defender Offline とは

悪意のあるソフトウェアの中には、Windows Defender などのウイルス対策ソフトウェアにアクセスできなくするものがあります。マルウェアを検出して削除するには、Windows Defender Offline を入れた CD、DVD、または USB フラッシュ ドライブを使用して、コンピューターを起動します。

ウイルスを除去する手順については、こちらをご覧ください。

変更履歴

• 2014/7/11 16:14: セキュリティ アドバイザリ 2982792 の日本語ページを公開しました。
• 2014/7/22: 2014/7/18 にサポートされているエディションの Windows Server 2003 用の更新プログラム 2982792 が利用可能になりました。

2014 年 7 月 11日、セキュリティ アドバイザリ 2982792「不適切に発行されたデジタル証明書により、なりすましが行われる」を公開しました。

デジタル証明書は、Web サイトが正規のサイトであることを確認するために利用されます。不適切に発行されたデジタル証明書は、なりすまし、フィッシング、または中間者攻撃に悪用される可能性があります。このデジタル証明書の悪用からお客様を保護するために、マイクロソフトは証明書信頼リスト (CTL) を更新し不正な証明書の信頼を排除する更新を行いました。

なお、マイクロソフトは現在、この問題に関連した攻撃を確認していません。

影響を受ける製品および回避策の展開方法など、詳細についてはセキュリティ アドバイザリ 2982792 を参照してください。

推奨するアクション

Windows 8、Windows 8.1、Windows RT、Windows RT 8.1、Windows Server 2012、Windows Server 2012 R2においては、証明書の自動更新ツールが既定で実装されており、自動的に保護が行われるので、措置を講じる必要はありません。

Windows Vista、Windows 7、Windows Server 2008、Windows Server 2008 R2 において、証明書の自動更新ツール（サポート技術情報 2677070）を利用している場合、自動的に保護が行われるので、措置を講じる必要はありません。証明書の自動更新ツールを利用していない環境への更新プログラムの提供はありません。非インターネット環境など、自動更新ツールを利用できない環境を利用している場合は、非接続環境用の構成 (サポート技術情報 2813430) を行ってください。

Windows Server 2003 環境で利用できる更新プログラムは現時点では提供されていません。アップデートがあり次第、セキュリティ アドバイザリ 2982792 を更新しお知らせします。(2014/7/18 に利用可能になりました)

関連リンク

ルート証明書プログラムおよび自動更新ツールについては以下のブログも合わせて参照してください。

• 証明書更新機能の進化と Windows XP サポート終了後のリスク

• マイクロソフトが提供する信頼できる証明書利用基盤 ～ルート証明書更新プログラムと更新ツール ～

• セキュリティ アドバイザリ2854544 (KB2813430) ～ ルート証明書更新プログラムの管理強化

本記事は、Security Research & Defense のブログ “Assessing risk for the July 2014 security updates” (2014 年 7 月 9 日公開) を翻訳した記事です。

本日、29 件の個別の CVE を解決する 6 件のセキュリティ情報をリリースしました。セキュリティ情報の内、2 件は最大深刻度が「緊急」、3 件が「重要」、そして 1 件が「警告」です。お客様の環境に最適な更新プログラムの適用優先順位の決定が行えるよう、以下の表をご活用ください。

ジョナサン・ネス、MSRC エンジニアリング