セキュリティホールを放置する危険が認識されていない。ワクチンさえ入れておけば安心という考えが広がったのはベンダーの戦略の成功だろうが、メディアにも責任がありそうだ
《2009年6月12日》 《カテゴリー:ネットワーク》
雑誌でセキュリティにまつわる記事をやることもあるのですが、
対策として「セキュリティホールを埋める」「ワクチンを導入する」
の2つを中心に説明していくんですけど、
(もちろん他に「怪しいリンクをクリックしない」とかいろいろありますが)
どうも「ワクチンさえ導入しておけば安心」みたいに、
ミスリードしていることがあるような気がしています。
対策の重要性として、
「セキュリティパッチを当てる」→「ワクチンを導入する」
くらい強調した方がいいのかもしれません。
たとえワクチンの検出に失敗しても穴さえふさがっていれば、
そこからの侵入を防ぐことはできます。
ワクチンで見つからないウイルスがあることを前提にしなければなりません。
セキュリティホールを埋めるといっても、
OS本体だけでなく、アプリも埋めないと意味がない。
主要なアプリで思いつくだけでも、
IE、Firefox、Thunderbird、iTunes、Adobe Reader、
Flash Player、Quicktime、Office
他にも一太郎に脆弱性が見つかったことがあるし、
Lhaplusとかフリーソフトにも穴があります。
これらの穴をすべてふさぐ必要がある。
仕事用じゃない普段づかいのマシンにはUbuntuが入ってますが、
こちらはパッケージマネージャがOSだけでなく、
アプリについてもアップデートの面倒を見てくれます。
(パッケージマネージャを使わずにインストールしたものはのぞく)
しかし、Windows UpdateはOS(およびOffice)だけで、
他のアプリはすべて個別にアップデートする必要があり、
一般のユーザーがもれなくアップデートするのは限りなく難しい。
しかもアプリごとに個別に自動更新機能を備えていて、
それぞれが勝手に通知を出しているのが現状です。
アップデートの通知に似せたトラップを仕掛けられたら、
ほとんどの人は疑いなく引っかけられるでしょう。
通知があってもその画面はやり過ごし、
ブラウザで配布元からパッチを手動で入手してインストール。
これが安全なやりかたでしょうけど、
手間から考えて普通の人にお勧めできません。
(ここまで心配するならDNSの汚染はどうなんだという話があるかも)
ワクチンの側で主要アプリについてはバージョンチェックをやって、
脆弱性があるバージョンが見つかったときは警告を出す、
みたいな機能をぜひ装備して欲しいところです。
TrendMicroにはセキュリティ診断という機能があり、
適用されていないパッチがあるときは警告を出してくれますが、
OS本体だけしか面倒を見てくれません。
Windowsには自動更新の機能があるので、
それ以外のアプリについてチェックしてくれた方が助かります。
投稿者 yasu : 2009年6月12日 15:55
|
トラックバック
このエントリーのトラックバックURL:
http://www.center-left.com/cgi-bin/mt5/mt-tb.cgi/1531