Windowsのセキュリティ更新プログラム、重要な公共サービスなどで多数使われている限り提供し続ける必要がある? 157
ストーリー by headless
更新 部門より
更新 部門より
WannaCryptの問題を受け、英政府通信本部元本部長のデビッド・オマンド氏がサポート期間終了後のシステムであってもMicrosoftのようなベンダーはセキュリティに責任を持つべきだと主張する一方、米国では上院議員2名が政府機関の発見した脆弱性の開示などに関する法案を提出している(The Registerの記事[1]、
[2]、
米上院国土安全保障・政府問題委員会のメディアリリース、
法案: PDF)。
オマンド氏はWindows XPが数多く使われていた2014年の段階でMicrosoftがサポートを終了したのは早すぎたと考えているようだ。また、MicrosoftではWindows XPなどサポート期間が終了したOSについて、WannaCryptが悪用した脆弱性を修正する更新プログラムをカスタムサポート契約者以外にも提供しているが、1か月前に提供していればよかったとも述べているとのこと。
米上院国土安全保障・政府問題委員会委員長のロン・ジョンソン上院議員(共和党)とブライアン・シャッツ上院議員(民主党)が提案したのは、「Protecting Our Ability to Counter Hacking(PATCH) Act of 2017」というもの。法案では脆弱性の開示等について判断する委員会の設置が主題となっている。委員会は国土安全保障省(DHS)長官または長官が指名した人物が委員長を務め、捜査機関や諜報機関などの責任者が常任メンバーとなり、脆弱性を開示するかどうかに関するポリシーを確立することが義務付けられる。
開示のタイミングや開示先などについては、捜査・諜報活動で脆弱性を使用する必要性や、米政府機関以外に脆弱性が発見される可能性、悪用された場合の危険性などを考慮して判断することになるとのこと。今回、WannaCryptが使用したとされるエクスプロイトを流出させた米国家安全保障局(NSA)では、発見した脆弱性の中には公表せず情報収集に使用するものもあることを2014年に明らかにしている。
オマンド氏はWindows XPが数多く使われていた2014年の段階でMicrosoftがサポートを終了したのは早すぎたと考えているようだ。また、MicrosoftではWindows XPなどサポート期間が終了したOSについて、WannaCryptが悪用した脆弱性を修正する更新プログラムをカスタムサポート契約者以外にも提供しているが、1か月前に提供していればよかったとも述べているとのこと。
米上院国土安全保障・政府問題委員会委員長のロン・ジョンソン上院議員(共和党)とブライアン・シャッツ上院議員(民主党)が提案したのは、「Protecting Our Ability to Counter Hacking(PATCH) Act of 2017」というもの。法案では脆弱性の開示等について判断する委員会の設置が主題となっている。委員会は国土安全保障省(DHS)長官または長官が指名した人物が委員長を務め、捜査機関や諜報機関などの責任者が常任メンバーとなり、脆弱性を開示するかどうかに関するポリシーを確立することが義務付けられる。
開示のタイミングや開示先などについては、捜査・諜報活動で脆弱性を使用する必要性や、米政府機関以外に脆弱性が発見される可能性、悪用された場合の危険性などを考慮して判断することになるとのこと。今回、WannaCryptが使用したとされるエクスプロイトを流出させた米国家安全保障局(NSA)では、発見した脆弱性の中には公表せず情報収集に使用するものもあることを2014年に明らかにしている。
なお、オマンド氏と同様にWannaCryptの問題をWindows XPと結び付けて考える人も多いようだが、WannaCryptに感染したPCの大半はWindows 7だったようだ。Kaspersky Labによれば、感染PCの98%以上がWindows 7であり、約1.5%がWindows Server 2008 R2、Windows XPはわずかだったという。Microsoftが影響を受けないとしていたWindows 10も0.03%を占めているが、これは脆弱性を狙った攻撃ではなく、フィッシングメールなどから直接感染したものとみられる。また、Windows XP/Server 2003はランサムウェア自体には感染しても、エクスプロイトは正常に動作せず、リモートから感染したり、他のPCを感染させたりすることはないという話も出ている。
ちなみに、The Registerの記事[1]では重要な公共サービスで使われているPCのセキュリティ確保をMicrosoftに義務付けるべきかどうかという読者投票も行われており、反対が賛成の倍以上となっている。また、パッチの提供期間に関する投票では10年が多数を占めており、20年が続いている。スラドの皆さんのご意見はいかがだろうか。
逆に (スコア:5, 興味深い)
政府機関にはサポート切れのOSを使うことを禁じる法律を作るべき。
Re:逆に (スコア:1)
「導入時点ではサポート切れじゃなかったんだよ。
入れ替える予算がなかっただけで。」
というのもよくある話じゃね。
もっとヒドイと
「中がスパゲッティコードで誰も触れない。かといって作り直す予算も時間もない。」
という糞コードに先日も関わってきた所です。
どうしてこんなに悪化するまで放置していたんだ。もはや何やっても手遅れ.
システムの耐用年数を要件に書くべき (スコア:5, 参考になる)
本件の場合はどうだか知りませんが、そもそも要件定義の段階において、システムの耐用年数をちゃんと明記しないと駄目なケースではないでしょうか。
耐用年数がちゃんと書かれていないのであれば、この場合行政側がセキュリティ上問題ありと判断するなら速やかにシステムのリプレースを発注すべきで、耐用年数が書かれており、その範囲内であればセキュリティ確保手段を受注側が提供すべき、って話でしょう。
建造物の発注の場合はどうしているんでしょうかね?同じ問題なんかとっくに発生していそうですが。普通に考えると明記していて当然かと思われます。
ほえほえ
Re:システムの耐用年数を要件に書くべき (スコア:1)
該当事象はその「べき」「当然」がすべて無視されて発生したわけで。
それを責任・義務と紐付ける契約を行わなかったことこそが問題であり、不文律の瑕疵担保はどの程度の期間なされるべきか、はたまたその義務があるのか。
国内法だとPL法範囲外だし、現状製造者の善意かホワイトハッカー(笑)に期待するかしかないわけで。
これで製造者責任が永久的になされることになるのなら、OS屋はヤリ損。
無料で最新OSへのアップグレードを提供するも非難轟々。
自分でOSを開発したミュンヘンは失敗してWindowsへ逆戻り。
これ、どうするのさ?
つまるところ、MSOfficeが動くChromeBookでも期待するしかないと思う。
Re: (スコア:0)
それを責任・義務と紐付ける契約を行わなかったことこそが問題であり、不文律の瑕疵担保はどの程度の期間なされるべきか、はたまたその義務があるのか。
利用者の義務とソフトの提供者の義務は分けて考えるべきですよ。そもそもソフトウェアへのセキュリティパッチ適用を法で義務付けつつ特定の市場を独占するソフトウェア企業にはソフトウェアの最低サポート期間を法律で強制しても良いのだから。
まあ現状だと法律がそうなってないんで契約に反しない限り何やっても許される。加えて大手の製品は契約上提供側が一方的にサポートないし製品の提供を打ち切っても良いので何やっても許される。実際そういうベンダはある。
自分でOSを開発したミュンヘンは失敗してWindowsへ逆戻り。
費用を削減したいとか言いながらカスタマイズしちゃう時点で担当者はなにもわかってない。カノニ
Re: (スコア:0)
というか、民間企業間の契約ですら瑕疵担保期間と保守期間(=耐用年数)って必ず聞かれませんか?
Windows XPについては、ずっと昔から終了日がアナウンスされ続けていて、
かつあちこちでさんざん騒がれていたわけですから、
担当者や納入業者が「知らなかった」では済まされないでしょう。
Re: (スコア:0)
発注時の耐用年数は最低保障であって、「それ以上動いてしまうことを否定する」わけではないからなぁ。
それこそ建物の例なんかがわかりやすいけど「耐用年数を過ぎたら即座に壊して建て替える」なんてのは普通しないでしょ。
問題ないかどうかの検査だけして、問題がある箇所は補修するだろうけど。
そう考えると官公庁のシステムに必要なのは「定期的にシステムの仕様や状況を監査して必要なら改修を加える(OSやミドル等のバージョンアップ含む)ことを法制化する」だよね。いや、官公庁に限らずそれ以外の企業でもやるべきなんだろうけど。
3年に1回とかそれくらいのペースで監査して、次の点検までにサポート期限が切れるソフト等があればリプレイスを指示する、が仕組みとしてきちんと機能してればこんな問題は起きないだろうから。
(それで「予算がなくてできませんでした」になりかねないのが日本の役所なので別途対策は必要だろうが)
無期限で必要なら無期限でカネを出せ問題 (スコア:3, 参考になる)
何らかの公共コンソーシアムがみんなでお金を取りまとめて、古いパッチを作りつづけるための資金をMSに提供し、パッチはコンソーシアムのメンバーで共有する(場合によっては公開する)、という仕組みができませんかねぇ?
で、MSはその仕組みに対して本気の見積もりを出すくらいの義務は負ってもいいのでは、と。
ならば (スコア:0)
政治家は引退してもその時の支援者が生きてる間は責任を持つべきでは?
#海外の事情は知らんけど
Re: (スコア:0)
民主主義国家であれば、その政治家に投票した人も責任を持たねばならない
Re:ならば (スコア:3, すばらしい洞察)
実質自分の現在の生活や未来の生活にツケが回っているので責任をとっていると思う。
唯一国民だけが無限責任を負っているともいえるかもしれない。
Re:ならば (スコア:1)
責任の定義をはっきりしないと
日本国憲法第15条4「すべて選挙における投票の秘密は、これを侵してはならない。選挙人は、その選択に関し公的にも私的にも責任を問はれない。」
Re: (スコア:0)
でもその政治家の子供が票を受け継いで失敗すると叩き出すんでしょ
Re:ならば (スコア:2)
それがいやなので、当選しない候補に投票します。
svn-init() {
svnadmin create .svnrepo
svn checkout file://$PWD/.svnrepo .
}
それなりの知識と経験を持った人材を (スコア:0)
雇用すれば良かろう。
まあ自動車なんかと同じですからね。 (スコア:0)
自動車や家電製品は製品提供終了後長時間たってもリコールしますね。それと同じでしょう。言いたいのはそれだけ。それだけではないな。うちのような零細も対象になると困るな。
Re:まあ自動車なんかと同じですからね。 (スコア:1)
自動車なんかは契約で「最低提供保証期間」みたいのを決められるよ。
いつまでもラインが残っているわけでもないLSIでも同じで、だから当該チップはラインを閉じる前に作り置きする。
ランニングチェンジ以外のマスク変更は認められないからね。
元々保証環境が厳しい事もあって、車載の仕事は受けないメーカーもあるくらいだ。
アップデートの徹底または自動化が先では? (スコア:0)
「WannaCry」感染の98%は「Windows 7」で「XP」はほぼゼロ
http://www.itmedia.co.jp/news/articles/1705/20/news034.html [itmedia.co.jp]
だったらしいので、古いOSではなくアップデートの徹底の方が有効では?
Re:アップデートの徹底または自動化が先では? (スコア:3, 参考になる)
今回の問題に限らず各所で言ってきましたが「セキュリティは集団免疫の性格を持ちます」に尽きます。
貴方がいいから良いではなく、パッチや新たに実装されたセキュリティ機能を含んだアップデートを適用しない事で社会に迷惑をかけている事になるのですよね。
すぐには難しいですが、長期的には全てのソフトウェアに対して"必要があれば月1回以上のパッチ提供の義務化"と"パッチ非適用ユーザへの切るスイッチ埋め込みの義務化"あたりが妥当ではないでしょうか。
またIoTというこのご時世を考えるとキルスイッチと同時に、少なくとも「少なくとも発売からn年以内に発見された脆弱性にはアップグレードが保証する、または保証されているソフトウェアを搭載しなければならない。」みたいな法整備をしないと顧客を守らないメーカーが出てきそうですけれどね。
#某G社の某AというOSがWebView脆弱性で過半数のアクティブ端末を切り捨てたみたいに…
一方無期限のサポート義務化は強く反対ですね。
あまりに古いとメーカーでさえパッチ開発が可能な環境があるかどうかさえ怪しくなってきますし。
(例えば今でも工場で元気しているPC-98のWindows 3.1とか)
Re:アップデートの徹底または自動化が先では? (スコア:1)
というよりも今回のような件こそ集団免疫の主対象です。
予防接種の目的という部分でよく言われるのですが、予防接種の主たる目的は個人が感染しない事ではなくって感染が広がりにくい社会を作る事なのです。
例えば以下のような条件を定義してみましょう。 ・当初の感染者を1とする。
・1度につき10の対象に対して感染の試みが行える。
・感染成功率は10%とする。
・治癒はしない。
・感染の試みは10回行う。
これを行うと当初の感染者を含めて感染数は1024になります。
これにたった1つ「全体の半分は免疫(=パッチ適用)がある」とする条件を追加するとどうなるでしょう。
感染数は当初の感染者を含めて57.66504となります。
個体あたりの感染危険度は約1/18となります。
「全体の半数は免疫(=パッチ適用)がある」を「全体の9割は免疫(=パッチ適用)がある」にするとどうなるでしょう。
感染数は当初の感染者を含めて2.593742…つまり免疫がないと1023も感染数を増やせるほど試行しても2増やすことができなくなります。
これこそが集団免疫の威力です。
ここに治療効果を加えてみましょう。
「感染の試みの度に10%は治療される」としてみましょう。
免疫0では最終的な感染者数は613.1066、半数が免疫有では28.92547、9割が免疫有では1となります。
つまり、集団免疫にアンチウイルス等の治療効果を加えるとパンデミックは起こらないわけです。
免疫保有率を上げるにはどうすればいいか?手っ取り早いのは集団予防接種です。
治療成功率を上げるにはどうすればいいか?手っ取り早いのは薬を配ってしまう事です。
Windows 10の強制アップデートは集団予防接種に相当しますし、Windows Difenderは薬を配る事に相当します。
99%検出できる優秀なアンチウイルスを半分の人に購入してもらっても治療効果は0.495ですが、90%検出できるざるなアンチウイルスをOS付属にすれば治療効果は0.81です。
突然再起動されると批判されたり検出率が悪いと批判されたりしますが、Windows 10のもたらしたセキュリティ効果は地球人の経験上史上最大か、Windows Updateが始まった日に次ぐ2番目の巨大衝撃です。
Re:アップデートの徹底または自動化が先では? (スコア:1)
個人なら爆死覚悟で当ててしまう方が安全ですよ。
Windows Updateが始まって以来1000件を超えていますが、明確なトラブルが確認されたアップデートは両手の指に収まるほどです。
そしてそれも0.01%オーダーの端末にしか影響を与えていないとされています。
つまり自分が被害を受ける可能性は多く見積もっても0.0001%程度です。
一方マルウェアはアップデート毎どころか脆弱性毎に多数のマルウェアが存在しかつ複数の脆弱性を利用しているものが多いですね。
ただ、シミュレーションが大変なので(現実にそんな優しい状況はあり得ないですが)アップデート毎に1種類そして1つのアップデートで修正された脆弱性のみを利用するマルウェアが存在するとしましょう。
0.0001%の端末が感染数するとしましょう。
そして80%の端末はアップデート配布から1週間で感染するとします。
そして自身はアップデート適用による不調の回避の為に1週間後に適用するとします。
これで感染する確率は0.08%です。
3桁に近いレベルでアップデート適用を遅延する方が危険ですね。
現実のインターネットはこのシミュレーション程優しい環境ではないので更に危険でしょう。
もしあなたが100台単位で同じ構成のPCを管理しているなら事前テストは考えた方がいいですが、個人で使える範囲なら定期的にバックアップを取って爆死覚悟でぶっつけ本番した方が安全ですよ。
Re:アップデートの徹底または自動化が先では? (スコア:1)
>だったらしいので、古いOSではなくアップデートの徹底の方が有効では?
アップデートが徹底されていない要因分析はどんな感じなんだろう。
・回線速度が遅い
・リブートが必要な場合実行しにくい
・アップデーターがでかくて作業Disk容量が不足している
・そもそも全く更新されない or しない。
Re:アップデートの徹底または自動化が先では? (スコア:1)
回線品質が悪いところで、4GB/台数分はきっついね。
従量課金の環境下(まだあるのか?)だったら金銭面でもきついだろうなぁ。
Re:アップデートの徹底または自動化が先では? (スコア:1)
Windows7はWindowsUpdateの不具合で、起動後数時間たってもUpdateの検索が終了しない問題がある時期がありました。
これが短時間しか使用しないPCで発生すると、Updateされないままシャットダウンされてしまい、永遠にUpdateできない状態になります。この間HDDアクセスも多いしCPU負荷も高いのですが、めったにPC使わないような人だと、ちょっと重いなってぐらいでそのまま気にしないようです。
自分の親のPCがまさにその状態で、手動でパッチあてるまで2年ほどUpdateの検索を繰り返し頑張ってたようです。
Re: (スコア:0)
Windows10の強制アップデートの方針は正しい
Re:アップデートの徹底または自動化が先では? (スコア:3, 興味深い)
セキュティアップデートだけなら強制更新でもいいんだけどね。
ただし致命的なトラブルを起こさないという前提をつけての話だが。
機能変更までちゃんぽんにしてる時点で欠片も同意できない。
Re:アップデートの徹底または自動化が先では? (スコア:2)
そういう人はWindowsを買わなきゃいいんじゃないですかね。超漢字でもIRIXでも好きなものを使えばいいんだと思いますよ。
Re:Windowsの安定性にが低いところが問題だろ (スコア:4, 興味深い)
つまり納品しなきゃいいんじゃないですかね。何でもかんでもXaaSで提供すべきというのが教訓なのでは。
OSのライセンスが売り切り永続だったのは、インターネットへのアクセスという基本的人権が保障されていなかった時代の名残ということで。
Re:Windowsの安定性にが低いところが問題だろ (スコア:1)
> その設定で業務を組んでいるのでトラブルに弱い仕組みが出来上がる。
君がリスクの考え方をわかってないだけじゃないかな。
セキュリティホールのリスクと更新パッチ当てるリスクだったら、当然更新パッチ当てるリスクの方がまだ低い。
君はWindowsの更新を怠ってセキュリティホールを突かれて顧客情報が漏れた時、お客様に
「Windows Updateがクソなのが原因です!」
って胸張って言えるの? 言えるなら、もう一刻も早く君がIT業界から去る事を祈るしかないかな。
あと、納品だけして保守運用しないなら、更新設定しないのはある意味大きなお世話。
君、ちゃんとお客様にそれ伝えてる? お客様に言われてそうしたんならわかるけど。
お客様に何も言わず勝手に更新切ってたんなら、君はウィルスの拡散に一役買った最低な奴だね。
納品して保守運用も請け負ってるのに更新しないのは、単に君の怠慢。
ゼロデイパッチでなければ適用に時間差を設ける方が良い場合は多いので、通常の更新設定を行わない事にも利点はあるけど、君の言い草だとそもそもパッチの適用を全くしていないね?
ノンストップの業務向けシステムなら即座に更新を適用しないのは理解出来るけど、それと更新を全く適用しないのとでは話が違いすぎる。
というか、そもそもWindowsの更新で異常が起こる事は言う程ない。
自宅サーバを4年ぐらいWindows Serverで運用してて、Windows Updateは常にやってるけど、おかしな事になった事は一度も無いよ?
そもそも異常があったらパッチを取り下げるのも早いし、大きなパッチは一括配布じゃなくて徐々に浸透させる方針に変わってきてるし。
MSは神様じゃないのでたまにトラブルは当然起こるけど、被害者が騒ぎ立てて針小棒大になってる印象しかない。
Re:Windowsの安定性にが低いところが問題だろ (スコア:2)
「上に報告するから即日アップデートを適用しろ。さあ早く」とか言い出すものです。
Re:Windowsの安定性にが低いところが問題だろ (スコア:1)
奴は6日目の二足歩行被造物で大ポカをやらかしたのに、バグ修正せず休みに入っちゃったから……。
Re: (スコア:0)
おっ、クソSIerさんかな?
Re: (スコア:0)
とりあえず、こういう奴の客は可哀想だなぁとしか
こういう奴を(技術や能力ではなく付き合い等で)重用しているような客だから自業自得か?
その煽りをうけた客先の従業員はご愁傷様
Re: (スコア:0)
技術がないのはマイクロソフトの方で
そのしわ寄せを言ったところで堂々巡りもいいところでしょ。
実際トラブルが発生した場合、
サポートが入っているなら時間と作業が発生しますし
作業で改善するならまだしも改善しない内容では
単純に経費が発生し続けているだけになります。
そもそもマイクロソフトのOSの採用はコスト削減目的など
一つの要因でしょ。
とりあえずマイクロソフトを叩くと他を叩いて
ガス抜きしているみたいだけどそれは解決にならんことを認識すべきだよ。
Re: (スコア:0)
うわぁ…
Re: (スコア:0)
そこまで言うのであれば、技術のある貴方がWindowsを超える、セキュアなOSを提供すればよいだけですよ。
Re: (スコア:0)
社内のメールサーバーがヤラれちゃったIT企業もありましたね。
Re: (スコア:0)
2chとかスラドはニートとか無職がコメントしてるから実情とズレている。
そんなバカな連中にコメント無駄なんだろうけど
まぁ一般企業だと夜中にバッチが走っていたりとか
業務の種類には再起動の予定が組めない業務があるので
それをどうするかが問題なわけですけど、
予定はあってもすぐに対応できない構造だったり
現実の運用は難しいところはあります。
臨時になると休日作業とか深夜とかになります。
当然維持するにはそれ相当のコストは発生するものです。
現場はいつでも大変なんですよ。
Re:Windowsの安定性にが低いところが問題だろ (スコア:1)
これWindows関係なくて、セカンダリSMTPサーバー用意してないのっていう。
単に、社内DNSレコードをセカンダリに書き換えれば、無停止で行けるでしょう。
対価も無しに無限のサポートを要求とか… (スコア:0)
強制できたとしたら、全体的に値上がりして、使用条件に書かれた期限を守らない奴らに巻き込まれたまともな人らが損するだけじゃないですか。
Re: (スコア:0)
無限にサポートを要求したら、使用期限になったら強制終了する仕様になるだけだろうな。
Re: (スコア:0)
もう無限サポートになりましたよ。waas
痛い思いをするといい (スコア:0)
これまでWindowsで業界の足を引っ張っていたこともあって
一度痛い目にあって完全は排除くらいのことがあって然りでしょ。
その方が結果的に前に進みますよ。
Re: (スコア:0)
windowsが長年使われていたのは10年という長いサポート期間があったからでしょう
ちょっとは他所のOSのサポートを見てみたらいい
Re: (スコア:0)
つい先日そんなやり取りをしたばかりだった。
「Windowsなんてしょっちゅう乗り換え強要するんだからLinuxにするべきだ!」
「どのディストリにすればWindowsより長くいけるかな」
「Linux!」
長さで対抗しようとしたらRHELなのかな?
Re:痛い思いをするといい (スコア:1)
サポート無期限義務なら (スコア:0)
サポート無期限義務ならOSSなんて使えなくなるよなあ。
組み込み機器に使われているLinux kernel ver.2.2系とか責任とってサポートしろって言われたって誰がサポートするんだい?
ソース公開しているからご自由にって言われても、自分でサポートできるなんてのは少数だろうしな。
組み込み用を使え (スコア:0)
これで終わりだと思うけど。
なんで一般向けのを重要な用途に使うの。
ミッションクリティカルな用途には使うなとEULAには書かれてるけど、公共サービスにも使うなって加えないといけなくなりそう。
Re: (スコア:0)
それよりも、まず
そんなに大事なものをインターネットに繋ぐな
だと思う。
Re: (スコア:0)
数じゃなくて、社会のインフラを動かしている根幹の部分に何が使われていたかだろう。
感染した全体のうち大多数が7であっても、その根幹部分に使われていたのがXPで、
そこが感染して、それゆえインフラが麻痺してしまったとしたら問題だ。
まあ、もちろんそれでMicrosoftを責めるのはお門違いで、それだけ重要ならセキュリティーにちゃんと投資とけ
という話なのだが。