今日はパッチチューズデーです。AppleのWWDC発表やE3のゲーム関連ニュースに注目が集まっていたせいか、私が「30 Days With Ubuntu Linux」プロジェクトに注力していたせいか、あるいは話題をさらったLulzSecのハッキング事件のせいか、今月のパッチチューズデーは私にとって驚きの連続でした。皮肉なことに、今月のパッチチューズデーは地味なように思えるかもしれませんが、実は重要なアップデートに関してはここ数ヶ月で最大級の規模を誇っています。
マイクロソフトは6月に16件のセキュリティ情報を公開しましたが、そのうち9件はマイクロソフトによって「緊急」と評価されています。「緊急」という評価よりもさらに懸念されるのは、9件の「緊急」セキュリティ情報のうち7件がエクスプロイト可能性指数(Exploitability Index)が1であることです。これは、今後30日以内にエクスプロイトが発生する可能性が非常に高いことを示しています。
Lumension のセキュリティおよびフォレンジック アナリストである Paul Henry 氏は、次のように説明しています。「9 件の重大なセキュリティ情報があり、その大半が直接再起動を必要とすることから、IT プロフェッショナルにとってはペースを緩める余裕のない長い夏の始まりとなります。」
当然のことながら、消費者や企業は、特に「緊急」と評価されているものなど、適用可能なすべてのパッチとアップデートをできるだけ早く適用する必要があります。しかし、Microsoft Trustworthy Computingのレスポンスコミュニケーション担当グループマネージャー、Jerry Bryant氏に話を聞いたところ、特に優先的に対応すべき4つのセキュリティ情報を挙げてくれました。MS11-042、MS11-043、MS11-050、そしてMS11-052は、ほとんどのお客様にとって最優先すべき情報です。
nCircleのセキュリティオペレーション担当ディレクター、アンドリュー・ストームズ氏は、「いつものように、Internet Explorerが緊急リストのトップに位置しています。これは4月にリリースされて以来初のIE9パッチであり、Microsoftにとってこれほど迅速に最新ブラウザのパッチをリリースしなければならないのは、きっと不安なことでしょう」と指摘しています。
nCircleのTyler Reguly氏は、「またしてもPatch Tuesdayがやってきました。いつもと同じ内容ですね。ほとんどの人は、この時点でパッチ適用方法を科学的に理解しているでしょう。まずInternet Explorerにパッチを適用し、次にクライアントソフトウェアにパッチを適用、そして最後にあまり知られていないソフトウェアにパッチを適用する、といった具合です。」と述べています。
MicrosoftのExploitability Indexとガイダンスは有用ですが、脆弱性とそのリスクを自社の環境に評価し、それに応じてパッチの優先順位を決定するのはIT管理者の責任です。最近Shavlik Technologiesを買収したVMwareの研究開発マネージャー、ジェイソン・ミラー氏は、「今月はセキュリティ情報と影響を受ける製品が非常に多いため、各セキュリティ情報を徹底的に確認し、今月のパッチ適用計画を立てることが重要です。サーバーでもワークステーションでも、すべてのマシンが今月は影響を受けるでしょう。」と述べています。
新しいOSやアプリケーションは、古いものよりもリスクが低いことを改めて強調しておきます。組織がOS、Webブラウザ、または生産性向上スイートのアップグレードを検討している場合、レガシーソフトウェアのサポートと保護に必要な時間と労力の増加によるコストを必ず考慮に入れる必要があります。Lumensionのヘンリー氏は、「より安全なコードベースを活用するために、ユーザーがIEの新しいバージョンをダウンロードすることは絶対に不可欠です」と強調しています。
