セキュリティ問題はMicrosoftだけのせいじゃない
セキュリティ問題をMicrosoftのせいにするのは簡単だが、迅速にパッチを当てないユーザーにも責任の一端はある。

PCコンピューティングの世界では、この世を苦しめるすべてのセキュリティ問題をMicrosoftのせいにするのがはやりだ。「Macくんとパソコンくん」CMでWindowsのセキュリティを嘲笑しているAppleであれ、Windowsの問題を調べている無数のセキュリティ専門家であれ、少なくとも一部の人は、MicrosoftのOSがすべてのセキュリティ問題の犯人だと名指ししている。

　Mac愛好家はよくMicrosoftのセキュリティを引き合いに出す。スパイウェアへの感染を自分以外の誰かのせいにしたい人にとっても、Microsoftは格好の的だ。

　だが、Windowsエコシステムを客観的に評価すると、かなり違った結論が出てくるかもしれない。ユーザーが対処を強いられている Windowsの問題の一部はMicrosoftのせいだが、未パッチのクライアントアプリケーションが、Windowsのセキュリティに Microsoftでもどうにもできない穴を開けている可能性があることが最近の調査で分かった。

　SANS Instituteの報告書によると、セキュリティ企業各社が悪意あるハッカーと戦っている一方で、ユーザーがパッチを当てていないクライアントソフトが大きな問題になっているという。これがPCを襲う「攻撃の波」につながり、コンシューマーから大企業まであらゆるユーザーに影響すると、同団体は主張している。

　「平均的に見て、大規模な組織がクライアントソフトの脆弱性にパッチを当てるまでの時間は、OSの脆弱性にパッチを当てるまでの時間の2倍以上だ」とSANSの報告書にはある。「言い換えれば、最も優先度の高いリスクに、優先度の低いリスクよりも注意が払われていないということだ」

　SANS Instituteの調査結果が本当だとした場合、MicrosoftはWindowsエコシステムの最大の問題ではないかもしれないと言えないこともない。確かに、ハッカーがWindows PCを攻撃しているのは、ほかのOSを搭載したPCよりも数が多く、侵入しやすいからだ。だが、セキュリティ問題の責任の一部は、アプリケーションにパッチを当てるのに時間がかかりすぎているユーザーやIT管理者にもあるはずだ。

　過去数年の間、Microsoftはセキュリティを戦略の重要な要素としてきた。同社はたいてい、問題が発生する前に潜在的な問題にパッチを当てている。脆弱性を突くマルウェアが発生しても、だいたいは手に負えなくなる前にうまく対処している。

企業はそれに倣っていない。多くのアプリケーション開発者はMicrosoftほど迅速にパッチを発行しておらず、そのアプリケーションを使っているユーザーは、パッチがリリースされてもすぐにはアップデートしない。SANS Instituteが指摘しているように、大企業がアプリケーションをアップデートするのにかかる時間は、OSのアップデートをインストールするのにかかる時間の2倍だ。その過程で、彼らは生産性に影響を及ぼす問題にさらされている。

　Microsoftを責めるのは簡単だが、おそらく鏡を見るべきなのは、大企業や中小企業だろう。セキュリティ問題が起きたとき、あるいは開発者がパッチをリリースしたときに、パッチをできるだけ早急にインストールするのは企業の責任だ。SANS Instituteの調査結果のように、今はそれが実行されていない。