セキュリティ管理 ‐ 2005 年 3 月
オペレーションのセキュリティ: 第 1 回 (全 4 回) Windows、Linux およびセキュリティ通知
トピック
 | ユーザーとセキュリティ通知 |
| Red Hat のセキュリティ アドバイザリ |
| Novell Suse セキュリティ アナウンスメントおよびサマリ レポート |
| マイクロソフト セキュリティ情報 |
| 結論 |
マイクロソフトでのセキュリティ ビジネスおよびテクノロジ ユニットの仕事において、私は多くの時間を費やして OS のセキュリティ、カスタマ フィードバック、進行状況のメトリックス、これらの 3 つの関連性などの分析を行ってきました。その中で発見したことの 1 つに、セキュリティの理論上の考えとお客様の実際のセキュリティの懸念には非常に大きなギャップがあるということがあります。このコラムは、全 4 回のシリーズでお届けし、今回は、お客様のセキュリティ上の心配点を考察し、Microsoft Windows ベースのオペレーティング システムまたは Linux ベースのオペレーティング システムのいずれかを使用した場合の問題を提起します。
Windows に関しては、マイクロソフトのセキュリティ開発ライフサイクル [Lipner04] を適用した最初のオペレーティング システムであり、ここ 2 年間ユーザーが使用しているオペレーティング システムである Windows Server 2003 を主に検証していきたいと思います。Linux に関しては、Red Hat および Novell Suse Enterprise Linux サーバーのオファリングに関して考えます。
トップ レベルでは、3 つのベンダーすべてがお客様にセキュリティ通知を提供していますが、それらの違いがお客様のオペレーション環境に及ぼす影響を見てみましょう。
ユーザーとセキュリティ通知
マイクロソフトのセキュリティ通知は、「セキュリティ情報」と呼ばれています。Red Hat では、「セキュリティ アドバイザリ」、Novell では、「セキュリティ アドバイザリ」または「セキュリティ アナウンスメント」と呼ばれています。どのような名前でも、それらの情報はセキュリティ上の問題が各社の製品に影響を及ぼすこと、およびセキュリティ上のリスクを管理するために何らかのアクションが必要であることを顧客に通知するという共通の目的があります。
マイクロソフト セキュリティ情報に関し、お客様のニーズを理解するため、お客様およびお客様の諮問グループと話しをさせていただいた事がありますが、マイクロソフトのセキュリティ情報は、お客様が望むセキュリティ通知に関するトップレベルの要件に対応することができると信じています。お客様の考えをまとめると以下のようになります。
| • | 通知: 自動的にセキュリティ更新プログラムに関して知らせる更新ツールをすべてのユーザーが使用していると決めてかからないで欲しい。 |
| • | すべての問題をユーザーに通知: あいまいなセキュリティ対策は効果がない。できる限りの情報を提供して欲しい。そうすればユーザーが自ら保護するためのアクションを選択することができる。問題が小さいと思われる場合でも、ユーザーは情報を提供して欲しいと考えている。 |
| • | 影響を受ける製品の通知: 自分たちが使用している製品に対して影響があるかどうかを知るための十分な情報を提供して欲しい。バージョンごとに具体的な説明が必要。あいまいなサブコンポーネントではなく、ユーザーにわかりやすい製品名を使用して欲しい。 |
| • | 深刻度の通知: 深刻度の定義が必要。しかしユーザーの評価は、マイクロソフトの評価と異なる可能性があることを認識して欲しい。ユーザーが自ら深刻度を評価するために必要な情報をすべて提供するべき。 |
| • | 影響を緩和するためのガイダンスの公開:構成を更新するにはそれぞれ組織独自のポリシーがあることを理解して欲しい。更新プログラムを展開する前に 6 週間のテスト プロセスを行う場合があり、暫定的な保護策を必要とする可能性がある。 |
| • | ユーザーがマイクロソフトの提供する更新ツールを使用しているという前提を持たないで欲しい。リリースした更新プログラムがマイクロソフトの配布ツールだけでなく、ユーザーの配布ツールで展開できるか確認して欲しい。 |
| • | 影響を受けるコンポーネントの通知: ユーザーは使用しているアプリケーションで、変更点をテストする必要があるため、変更点を確認するために更新プログラムを分解したり、ソース コードをチェックする時間があると思わないで欲しい。 |
| • | 予測可能なスケジュールで提供: ユーザーには従うべきプロセスがあり、そのためには時間とリソースが必要であることを理解し、ユーザーが対策を行う時間を確保して欲しい。 |
次に、各ベンダーがこれらのユーザーのニーズに対して、どのようにセキュリティ通知を行っているか見てみましょう。まずは Red Hat から見ていき、最後にマイクロソフトの例を見てみます。
Red Hat のセキュリティ アドバイザリ
Red Hat は対処するセキュリティ問題ごとにセキュリティ アドバイザリをリリースし、すべての問題に対し、共通のフォーマットを使用しています。アドバイザリの中には、複数の脆弱性に対応しているものもあります。これは、脆弱性の悪用により引き起こされる問題や製品の共通エリアに及ぼす影響により関連性がある場合です。Red Hat では、製品別のアドバイザリ Web site、RSS フィード、電子メール配布リストが用意されており、ユーザー向けにフレキシビリティを提供しています。
Red Hat はそれぞれのアドバイザリで一意のアドバイザリ番号を使用しており、名前およびバージョンによって影響を受ける特定の製品、影響を受けるコンポーネント、CVE 名 About CVE (英語情報) によって対応する脆弱性を識別します。それぞれのアドバイザリのページには、Mitre がメンテナンスを行う脆弱性の説明ページへのリンクが掲載されています。最近のアドバイザリの例は、RHSA:2005-043 を参照してください。
Red Hat は、先月のアドバイザリから深刻度のガイダンスを掲載し始めましたが、問題を緩和するためのガイダンスは提供されていません。Red Hat は、アップデートされるパッケージの詳細なリストを提供しています。Red Hat の企業向け製品では、更新プログラムを取得するために Red Hat の up2date ツールを使用する必要があります。
Red Hat は、現在、更新プログラムの予測可能なリリース スケジュールを採用していませんが、できる限り早期に更新プログラムをリリースするというポリシーがあるようです。
全体的には、Red Hat はユーザーへの情報提供に関し、オープンでわかりやすい対応を行っていますが、基本情報を超える情報は提供されておらず、ユーザーが Red Hat の配布ツールを使用することができる、また使用することが前提になっています。
Novell Suse セキュリティ アナウンスメントおよびサマリ レポート
Novell は、あまり一貫性のあるセキュリティ通知をおこなっているとはいえません。Novell は、現在 2 種類のアドバイザリをリリースしています。1 つは、Red Hat がリリースしているものと類似点の多いもので、セキュリティ アナウンスメントと呼ばれています。最近提供されたセキュリティ アナウンスメントには、SUSE-SA:2005:005 があります。もう一種類の Novell のアドバイザリはセキュリティ サマリ レポートと呼ばれるもので、最近のサマリ レポートに、SUSE-SR:2005:003 があります。Novell は、2004 年 11 月に初めてサマリ レポートを導入しました。その前は他のセキュリティ アドバイザリの一部に同様の情報が含まれていました。
Novell は、アドバイザリおよびサマリ用の Web サイトを持ち、顧客が購読できる電子メール配布リストがあります。Novell は、Red Hat とは異なり、製品別のアドバイザリ一覧を提供していないため、ユーザーは新たな通知をそれぞれ確認し、使用している製品が対象となっているかを確認する必要があります。
セキュリティ アナウンスメントは一意のアドバイザリ番号を持ち、名前、バージョンによって影響を受ける製品、コンポーネントを識別しますが、通常 (しかし常にではありません) 解決される脆弱性はCVE 名にて識別されます。たとえば、SUSE-SA:2005:003 では、Novell は解決される 7 つのカーネルの脆弱性に関して説明していますが、それらの問題の中で 2 つにしか CVE 名がつけられていません。そのため、他の 5 つの問題に関する詳細を確認することは非常に困難です。
Novell は、通知のヘッダの部分に 10段階で深刻度のガイダンスを示していますが、Web サイト上のどこにもそれらの深刻度の定義が記載されていないようです。Novell は、影響を受けるパッケージが ”既定” の構成に含まれているか、また脆弱性の悪用によって行われる可能性のある攻撃の種類など、いくつかの追加情報を提供しています。
サマリ レポートは、その内容がまったく異なり、解決されるセキュリティ問題の概要しか提供されていません。Novell のイントロダクションには、通常、すべての問題が “minor” (軽度) と記載されているため、完全版のアドバイザリよりも情報の量が少なくなっています。ユーザーは、自主的に ftp サイトをチェックするか、または YaST アップデート ツールを使用して、使用している製品向けの更新プログラムをチェックするようにアドバイスされます、サマリ レポートにはCVE 名がリストされている場合もありますが、(もう一度言いますが) すべての問題に CVE 名が割り当てられているわけではありません。
Novell は、セキュリティ サマリ レポートで解決する問題を minor であるとしていますが、その評価の信憑性を疑うセキュリティ情報のソースがすぐに見つかる場合があります。たとえば、SUSE-SR:2005:003 では、2 つの ”軽度の” セキュリティ上の脆弱性 (CAN-2004-1125 および CAN-2004-1267) が CUPS (印刷) コンポーネントに存在します。これらの脆弱性の National Institute of Standards の ICAT リストでは、これらの問題の両方がリモートから悪用される可能性がある問題として識別され、深刻度が「高」とされています。
Red Hat と Novell のセキュリティ通知の相違は、さほどないように見えるかもしれませんが、ユーザーにとっては、違いは大きいといえます。Red Hat は顧客のために対応していますが、Novell にとっては自社製品の問題および更新プログラムの完全で詳細なリストをまとめるのは大きな課題です。個別の問題では、セキュリティ アナウンスメントを除き、ユーザーが十分な情報を基にセキュリティ上の対策を行うことができる詳細情報の量は非常に少ないといえます。
マイクロソフト セキュリティ情報
私が説明したユーザーの要件はマイクロソフト セキュリティ レスポンス センターへの広範囲なカスタマ フィードバックを基にしているため、当然のことながらマイクロソフト セキュリティ情報およびマイクロソフトのアドバイスのプロセスは、ユーザーの要件にあわせて調整されています。
マイクロソフトは、ソフトウェアのセキュリティ上のすべての問題に対し、お客様にセキュリティ情報を提供しています。お客様は、詳細なバージョンまたはそれほど技術的な詳細が含まれない簡易バージョンのいずれかの情報を電子メールで購読することができます。また、セキュリティ情報は、Web サイトに掲載され、そのページでは製品、深刻度、どのくらい前に公開されたかを指定して、検索を行うことができます。英語情報に関しては RSS Feed も利用できます。Windows Update サービスを介して提供される通知以外にもこのような通知が提供されています。
また、マイクロソフトはお客様がリソースに対する適切な計画をたてることができるよう、リリースされるセキュリティ情報の深刻度、影響を受ける製品に関する情報を事前通知として提供しています。
セキュリティ情報のコンテンツには、一意の識別番号、更新プログラムがテストされた影響を受ける製品のリスト、影響を受けない製品のリスト、最大深刻度が含まれています。セキュリティ情報には、要点、よく寄せられる質問、技術的な詳細、影響を受けるモジュールに関する詳細、コマンド ライン オプション、およびお客様のリクエストによるその他のサポート情報が含まれています。概要および詳細のセクションには、CVE 番号ごとに情報が提供され、影響を受ける製品の深刻度も含まれています。
詳細のセクションには常に、問題を緩和する要素および可能性のある回避策のオプションとそれらの影響が記載されています。
以前は3 つのレベルの深刻度システムを使用していましたが、2002 年に変更され、ワームによって悪用される可能性がある深刻な問題 (緊急) とワームの悪用がないと考えられる問題 (重要) との区別に使用できるようにしました。深刻度の定義は、こちらをご覧ください。
それぞれの更新プログラムは、適切なマイクロソフトの更新ツールを介して、またはダウンロード センターから入手することができます。
また、マイクロソフト セキュリティ情報は、毎月第 2 火曜日 (米国時間) に常にリリースされ、その前に事前通知が行われ、リリース後、双方向的な技術 Web キャストが行われ、ユーザーはその中で細かな質問をすることができます。
結論
ベンダーや製品を比較する場合、価値とメリットを比較のチェック ボックスの 1 つのセットにまとめてしまうことが多々あります。このページで説明したベンダーのすべての「セキュリティ アドバイザリ」にチェックを付けるのは簡単でしょうが、そのレベルの比較では、製品環境で実際にソフトウェアを管理している管理者が考慮すべき点が無視されています。
マイクロソフト セキュリティ レスポンス センターは 1998 年に活動を開始し、ユーザーの希望に即したフィードバックを得るためにセキュリティのユーザー コミュニティと定期的に交流を行っています。マイクロソフト セキュリティ情報と Linux ベンダーのセキュリティ通知を比較すると、相違点のうちのいくつかは、完成度および経験によるものと思われます。Linux ベンダーは、サポート ライフサイクルの長期化など他の分野でもマイクロソフトの後を追ってきているので、セキュリティ通知の分野で同様な変化が推進されていくであろうと私は予測しています。
しかし、2 つの主な Linux ベンダー間には明確な相違点があります。Suse の通知にはユーザーに提供される情報のレベルに様々なパターンがあります。サマリの通知のみで対応される問題には、ユーザーがオペレーション システムのリスクを簡単に評価することができ、その対応策を確認できるレベルの情報が提供されていません。
その他のセキュリティの比較論と同様に、このトピックに関しても皆さんが自ら確認し、結論を出す事をアドバイスします。このコラムでは、参照情報となるいくつかのリンクと、ベンダーと話し合う上で有効だと思われる質問事項を提供しました。皆さんのリストに追加していただけると思います。
来月もこのシリーズの次の掲載をご覧になり、運用環境における実際のセキュリティ問題に関して考えていただければ幸いです。複数の製品または配布に影響を及ぼすセキュリティ更新プログラムに関連した現実的なセキュリティの考慮点をいくつかご紹介する予定です。
Jeffrey R. Jones
Senior Director, Microsoft Security Business Unit
この記事は、マイクロソフト セキュリティ ニュースレターで配信しました。