時事ネタ

あけまして、おめでとうございます。セキュリティ ニュースレター編集長の早川です。 お正月が終わってしまいましたね… 特に何をするということも無いのですが、お正月がとっても好きです。 三が日が過ぎるころには、「あぁー。お正月が終わってしまった…。早く、お正月が来ないかな…。」と、早くも翌年のお正月に向けてのカウントダウンです。 今年は、大雪による被害が連日のように報道されていました。 実は、青森に住む叔母の家でも大雪のため家からでることもできず、また、停電が発生したため炊飯器が使えずに薪ストーブでご飯を炊いて過ごしていたのだと、つい昨日聞いたところでした。 災害に備えて飲料水や食料のほかにカセットボンベなども用意しておかないといけないなと、あらためて物理セキュリティについて考えさせられました。   すでに休暇を終え、お仕事を始められている方も多いかも知れませんが、会社で PC を利用する前に以下について注意してください。 1)    ウイルス対策ソフトウェアの定義ファイルを最新状態にする 2)    休暇中に持ち出した PC や USB が無防備に社内リソースに接続されないよう Windows Server 2008 のネットワーク アクセス保護 (NAP) などを使用して、社内リソースの保護を強化する   仕事始めの昨日にセキュリティ アドバイザリをリリースするという、波乱の幕開けとなりました 2011 年ですが、可能な限り日本語によるセキュリティ情報をいち早くお届けできるよう努力してまいります。 今年もセキュリティ レスポンスチームをよろしくお願いします。

2010 年 7 月 22 日 (米国日付) に、MSRC blog (英語情報) で、Trustworthy Computing Security の統括マネージャーである Matt Thomlinson が、マイクロソフトの新たな方針である「協調的な脆弱性の公開 (Coordinated Vulnerability Disclosure)」を発表しました。 以下にその発表内容の日本語抄訳を掲載します。 —– 本日、マイクロソフトは脆弱性の公開への対応方法に関する方針を「責任ある公開 (Responsible Disclosure)」から「協調的な脆弱性の公開」へと、変更することを発表します。「責任ある公開」と「完全な公開 (Full Disclosure)」の支持者との終わりなき議論、またその有意義かつ、生産的な業界の連携とお客様の保護を損なうことを鑑みると、マイクロソフトは“お客様へのリスクおよび影響を最小限に抑えて問題を解決するためには、協調および協力が必要である“という重要な柱を構成し、コミュニティの考え方を改めることが必要であると信じています。 協調的な脆弱性の公開 (CVD): 新たに確認されたハードウェア、ソフトウェアおよびサービスの脆弱性は、影響を受ける製品のベンダー、CERT-CC やベンダーに非公開で報告を行うコーディネーター、またはベンダーに非公開で報告するような専用サービスに直接レポートされます。ファインダーにより、ベンダーは脆弱性の詳細または悪用情報が一般に共有される前に、分析を行い、完全にテストを実施した更新プログラム、回避策またはその他の修正策を提供できることになります。一般で攻撃が行われた場合、お客様自身の防御のための継続的な通知およびガイダンスを提供するためにファインダーおよびベンダーが緊密に協力して脆弱性を早期公開することが可能になります。 責任は今後も絶対に欠かせないものです。しかし、それはセキュリティ リサーチャー、セキュリティ製品の提供者およびその他のソフトウェアベンダーのコミュニティにおける共通の責任です。このディフェンダー コミュニティの各メンバーが役割を果たし、コンピューティング エコシステムの全般的なセキュリティを強化します。 CVD は、現在定義している「責任ある公開」から大きく離れるものではありません。マイクロソフトはこれらのガイドラインから外れた、広範に公開された脆弱性の詳細は、お客様を不必要なリスクレベルの状態にするものであると一貫して考えています。しかし、CVD では問題を一般的に解決する方法について、より焦点を絞った協調が可能になります。CVD の中心的な原則は単純なものです。ベンダーおよびファインダーが解決に向けて緊密に連携し、時期を得た対応を実施するために広範に取り組み、一般への公開は積極的な攻撃の場合のみとし、一連の対応において最善だと思われる緩和策および回避策に重点的に取り組むことが必要になります。その際にもできる限り緊密に協調していく必要があります。 マイクロソフトがマイクロソフトの方針を新たなアプローチに転換するに伴い、幅広いセキュリティコミュニティにお願いしたいのは、最終的にお客様のリスクが最低限に抑えられるというこの変更の目的を受けいれていただくことです。この違いは重要な意味を持ちます。 マイクロソフトは、マイクロソフトが知らないうちに、非常に限定的な攻撃が発生する可能性があることを認識しています。しかし、基本的に (また、過去 10 年に渡るマイクロソフトの経験が示すように)、一旦脆弱性の詳細が一般で公開されると、悪用の確率が顕著に上昇することを確信しています。協調的にセキュリティ更新プログラムまたはテスト済みの回避策を提供しなければ、お客様に対する影響が大幅に増幅するのです。 公開に関する議論の中で、両方の極論を聞いてみると、私達すべてが目指しているものがひとつ – 「お客様を守る」ことであるのは明らかです。数年に渡り、マイクロソフトはセキュリティ コミュニティと緊密に協力し、お客様の利益のために連携した活動を行ってきました。協調的な脆弱性の公開により、これからもユーザーの安全が保持されます。 —–

小野寺です。 早い方は、今週末からゴールデン  ウィーク (GW) に入るのではないでしょうか？長～いお休みに入るにあたって、IT 管理者として、また、一個人として気をつけていただきたい事があります。 その辺を、「長期休暇の前に」のページにまとめてありますので、一度は確認いただき、実践してください。そして、今年は、詐欺的ソフトウェアの増加や、先日の Conficker の感染等があり、今まで気をつけてきた人も、改めて注意していただきたいと考え、日々、インターネットの安全に取り組むGIAIS パートナーの方々とも連絡を取り合い、通年よりもより広い範囲に呼び掛けを行っていきます。GIAIS (The Global Infrastructure Alliance for Internet Safety) は、世界中の主要なインターネット サービス プロ バイダーで構成するセキュリティのためのアライアンスで、日本では、「GIAIS パートナー」7 社が参加しています。 「長期休暇の前に」のページでは、各 GIAIS パートナーの方々のセキュリティ対策サイトやサービスも紹介しています。 また、先日 Power To The Pro 2009 の発表の際にお約束した、セキュリティの新ビデオ シリーズのプレビュー版もご紹介します。内容は、この時期に合わせて長期休暇対策です。しかし、今回のビデオは、いつもと少し違います。何が違うかは、自分の目で確認してください。http://technet.microsoft.com/ja-jp/security/cc263898.aspx 今回は、プレビュー版ですが、5 月には正式に専用 Web ページにまとめ、シリーズ物として定期的に提供していく予定です。フィードバックや、取り扱ってほしい話題は、このブログのコメントに書き込んでください。 色々と書きましたが、GW のためだけでなく、時間に余裕のある長期休暇を利用して、忙しい毎日で見過ごしているかもしれない、確認をしてみては如何でしょう？