Microsoft 大丈夫?
Microsoft 大丈夫?
グーグルが「Windows」の脆弱性をマイクロソフトのパッチ公開前に公表したことが、議論を呼んでいる。協調的または責任のある脆弱性の公開という問題について、セキュリティ専門家の意見も分かれている。japan.zdnet.com
これについては色々な立場や意見があろうことを承知で書くが,様々な product に対する Google の功績を考えれば, Google 側を責める気にはなれない。 Google のやり方に追従できないのは今のところ Microsoft だけだ。
それよりも心配なのは Microsoft 側の engineering の質が落ちているのではないか,という懸念だ(あくまで外側から見た場合のね)。
昨年 Microsoft は Microsoft Update に於いて立て続けにミスをやらかし,更新プログラムの撤回を行っている。そしてその度に(セキュリティ上の脅威を含めた)迷惑を被っているのは私たちユーザの方なのだ。それに加えて今回の Google のリークである。
Microsoft は,今年から一般ユーザ向けの事前通知をやめた。
本記事は、Microsoft Security Response Center ブログ "Evolving Microsoft's Advance Notification Service (ANS) in 2015 " (2015 …blogs.technet.com
これが,セキュリティ脆弱性対応の迅速化の結果であれば歓迎すべきことだけど,どうもそうではなく,単に顧客の差別化のために行っているらしい(事前に情報が欲しければ金を出せというスタンス)。
実際問題として Microsoft の事前通知は役に立っていない。月単位の更新ではゼロ・ディ攻撃に対応しきれないし(今までは Microsoft が高リスクと判断したものについては緊急で対応していたが,それでも半月近く遅れる),更新プログラムが出たら出たで,先程述べたように,ミスを連発して撤回する始末である。
おそらく,報告される多くの security incident を Microsoft は捌ききれてない。これは Microsoft 製品の多くが運用上の設計限界に達しているか, Microsoft 社内部の技術レベルが劣化しているか,またはその両方なのではないかと邪推する。
Microsoft が月例更新を始めた頃はこうしたことは大きな問題ではなかった。ゼロ・ディ攻撃もそれほどの頻度ではなかったし,更新を撤回するほどのミスも年に一度あるかないかだった。だがもう時代は変わってしまった。セキュリティ要件も変わった。 Google の提示した「90日」という moratorium は決して短い期間ではない。
Linuxの生みの親であるL・トーバルズ氏はニュージーランドの現地時間1月16日、Linux.conf.auでの質疑応答で、セキュリティ問題を一般に開示することの利点を強く信じている、と述べた。japan.zdnet.com
この件は,今は大したインパクトではないかもしれない。しかし,いずれは重大な問題としてユーザに振りかかる。 Microsoft は変わらなければならない。
あと自己保身的な発言をするセキュリティ専門「屋」やセキュリティ企業はくたばれと言いたい!