Vistaの脆弱性評価に関するMicrosoft幹部の見解に社内外から批判が集中――「深刻度をXPより低めに評価すべき」発言が問題に
この幹部は、同社セキュリティ・エンジニアリング部門のシニア・セキュリティ・プログラム・マネジャー、マイケル・ハワード氏。同氏は先週、Vistaの脆弱性に対するMicrosoft・セキュリティ・レスポンス・センター(MSRC)の評価のやり方は慎重すぎると、 個人ブログ で指摘した。
「無理もないことだが、MSRCの人々は非常に慎重だ。脆弱性の深刻度を低く評価して失敗するくらいなら、更新プログラムを配布しすぎて失敗するほうを選ぶような人々だ。したがって、Windows XPよりもVistaのほうが保護機能や問題軽減機能が充実しているにもかかわらず、バグが見つかったときに両者で深刻度が同じ『重要』なのは、意外なことではない」
1月末に消費者向けのエディションが発売されたVistaは、コードのバッファ・オーバーフローをチェックしたり、潜在的に危険な操作を実行する場合にユーザーに許可を求めたりするなど、新しいセキュリティ機能を多数搭載している。
当然のことながら、MSRCはハワード氏の意見を一蹴している。「Vistaを特別扱いにはしない。深刻度の評価プロセスはすべてのMicrosoft製品で同一だ」(MSRCの広報担当者)
MSRCが公開するセキュリティ速報には、脆弱性の深刻さが特定の環境では緩和されるという説明が載ることもあるが、深刻度評価システムは明確だ。例えば、ユーザーの操作を介さずに拡散するワームはMSRCの定義では「緊急」であり、Vista上でワームがそのように拡散すれば、Vista固有のセキュリティ技術にかかわらず「緊急」と評価される。
アナリストやMicrosoft社外のセキュリティ専門家は、MSRCを支持し、ハワード氏の意見を批判している。
SANS Instituteの最高研究責任者、ヨハネス・ウルリッヒ氏は、「例えば、リモート・コード実行を許してしまう脆弱性があるという事実の中身が、OSによって変わることなどない」と語る。
また、eEye Digital SecurityのCTO(最高技術責任者)、マーク・マイフレット氏は、「Vistaにはその場しのぎの保護機能が追加されているが、そうした機能のほとんどは破られている。MicrosoftがVistaの脆弱性を低く評価するなどという軽率な行動をとらないことを願っている」と手厳しい。
Vistaのセキュリティ対策をマイフレット氏よりも高く評価している研究者やアナリストも、Vistaの新しいセキュリティ機能が常に有効に働くとはかぎらないと述べている。「ユーザーがセキュリティ機能を有効にするかどうかはわからない。また、ユーザーがだまされることもあれば、攻撃者がこれらの機能をかいくぐることもある。Microsoftは脆弱性の評価方法を変えるべきではない」(Gartnerのアナリスト、ジョン・ペスカトール氏)
(グレッグ・カイザー/Computerworld オンライン米国版)
米国Microsoft
http://www.microsoft.com/
提供:Computerworld.jp