Blasterの蔓延も、情報がものすごい勢いで流れる昨今ではすっかり過去の話になりつつあります。けれども今回の騒動であらためて浮き彫りにされたベンダー、ユーザー双方にとっての課題は決して少なくありません。ウイルスの蔓延を防ぐ囲い込み体制を作り上げるためには、『当然のことを当然のようにこなす』という簡単そうに見えて実はかなり高いハードルを越える必要があります。しかし実際にイタい目にあってしまった以上、これで改善が見られないようであれば、『本当にダメ』の烙印を押されてしまうことにさえなりかねません。そして単なる対処療法にとどまらないセキュリティ意識について、そろそろ考える必要があるのではないか＿＿そんなことを考えてみました。
　というわけで遅きに失した感は否めませんが、今回の騒動について思うところを相変わらずのダラダラっぷりで書いてみました。

　1.Blaster騒動の原因

Blasterの新規性

Blasterがここまで流行した大きな原因は『ネットワークに接続しているだけで感染する』という特徴にありました。また、単に実行ファイルを削除しただけでは再感染の危険性が非常に高く、それがさらに混乱を助長したといえます。
　今回利用されたセキュリティホール(MS03-026)をふさぐためのHotfixは、ネットワークを通じたダウンロード以外の入手経路がほとんどありませんでした。しかし感染したPCは極端にネットワークが遅くなるか、あるいは異常終了してしまうなどしてネットワークが使用できないという状況に陥ってしまいます。実行ファイルを削除した後でHotfixをダウンロードしようとしたはいいものの、その最中に再感染してしまい、結局Hotfixはダウンロードできずじまい、というケースもあったことと思われます。
　つまりオフラインで対策ツールを入手できなければBlasterには対応のしようがないんですね。感染してしまった場合には、ケーブルを引っこ抜くなどしてネットワークから遮断した後で各ツールを動かさなければいけないのに、肝心のツールはオンラインでしか手に入らない。これはひどいジレンマです。果たしてオフラインでツールを用意できる人がどれだけいるのか。私も職場で駆除ツール、Service Pack、MS03-026のHotfixをまとめてCDに焼いたものを用意しましたが、結構な件数の引き合いがありましたし。
　今までのウイルスは一旦駆除してしまえばユーザー側の誤操作がない限り再感染の恐れはないものがほとんどで、このような八方塞がりの状況に陥ることもまずなかった。その点から見ても、Blasterは新しいタイプのウイルスだったといってよいかと思います。
　Microsoftは今回の蔓延に対して、量販店などで対策ツールの無償配布を行っています。他にもTVCMの末尾にWindows Updateの適用を促すようなメッセージを入れたりしているらしい。このような対応は今までになかったことで、もちろんそれ自体評価されてしかるべきではあります。けれども感染規模やBlasterの持つ特徴からいって、これは必須の対応だったのではないかと思います。もちろん焼け石に水であるというような意見もあるわけですけれども。

ユーザーの手落ち

MS03-026のHotfixがMicrosoftからリリースされたのは7月17日。その後Blasterが蔓延するまでの約３週間というのは、今までのウイルスに比べれば格段に短いものでした。しかし、対応する間もないというほど短すぎたわけではないと思います。にもかかわらずここまで蔓延してしまったということは、企業にせよ個人にせよ、迅速な対応が取れていなかったことを意味しているのではないか。特に個人ユーザーの場合、対策の取り方なんて知らないよって人も少なくなかったと思います。迅速どころの騒ぎじゃありません。
　そのような、自分のPCをきちんとメンテナンスしていないユーザーに問題があるのは間違いないでしょう。それくらい最初から自動でやってくれよ、という意見はありますし、その気持ちもわかります。PCはもっと賢くなってもいい。しかし少なくとも現状はそうなっていなかったんだから仕方がないとしかいえません。そしてこれは今までに何度となく繰り返されてきた話でもあります。「ちゃんとWindows Updateしましょう」の声は以前からあって、今回もあちこちから聞こえてきます。それでもやっぱりBlasterは流行ってしまった。結局Windows Updateという、セキュリティを確保する上で必要な手順をきちんと踏んでいなかったには違いないということになる。これはユーザーの手落ちであるといって差し支えないでしょう。

ベンダーの努力不足

けれどもユーザーだけが悪いのか、というとそうではありません。ベンダー側＿＿主にMicrosoft＿＿の抱えている問題だっていろいろ見えてきます。むしろ数だけ見てみると、ユーザー側の問題よりはこちらのほうが圧倒的に多い。
　まずあるのはそもそもセキュリティ上の問題があるソフトウェアを商品として販売していること。PCを購入して、まずまっさきにやるべきなのがセキュリティアップデートというのはどういうことだ、というわけです。実際Slammer騒動のときには韓国でそのような話がありました。寡聞にしてその続報は知らなかったりするんですが、同じようなことがBlasterについても話題になっています。
　個人的にはそんなのちゃんと管理してなかったおマエらが悪いんだろってことで、このような流れには批判的です。企業であると個人であるとを問わず、自らの責任をまっとうしない管理体制は批判されても仕方がないとも思う。が、ベンダーに対して製造物責任を問う考えが出てくること自体は無理のないことなのかもしれません。そして提供済みのHotfixをすべて適用した状態でOSを出荷するべきだという意見にも賛成できる。
　今後、セキュリティに関するユーザーの負担はどんどん軽減されてゆくはずです。コンピュータの世界では「At your own risks」とことさら強く言われてきていたわけですが、その意味が徐々に変じつつあるのは間違いない。それに伴ってベンダーの負う責任はより大きくなっていくでしょう。それはつまり、ユーザーがベンダーに対して求める責任の範囲と、現時点で実際にベンダーの責任とみなされている範囲との間にギャップが生じていることを意味します。それが「ベンダーの無責任さ」というものの正体なのではないか。その流れの中で「ベンダーの無責任さ」が追及され、訴訟にまで発展するという事態は、起こるべくして起きたという気がします。どのような体制がベストなのかを暗中模索しているのが現状ですから、このバランスの乱れはもうしばらく続くのではないかとも思う。
　この他にも、周知活動に対する疑問があるでしょう。Microsoftや各ウイルスベンダーはWebサイトやメールマガジンなどを通じて情報を流していましたが、それでも一般ユーザーへの対応は完全に後手を踏んでしまったといっていい。企業ユーザーに対しては管理側の、一般ユーザーに対してはPCメーカーの責に帰する場合もありますので一概には言えませんが、それにしても広報活動がうまくいっていたとは言いがたい状況だったと思います。
　そしてこれ以外にもHotfixの提供がWindows Updateに一元化されすぎていてダイヤルアップなどのナローバンドを利用しているユーザーには負担が大きすぎる、そもそもWindows Updateの必要性に対する説明が＿＿たとえばWindowsのマニュアルなどの記載を見ても＿＿不十分であるといった指摘もあるようです。

『あちら側』と『こちら側』

このように今回の騒動がここまで大きくなった原因は、Blasterの持っていた特徴だけでなく、ユーザー、ベンダーの双方にもあったということができそうです。そこで仮にウイルス及びその作者と、ユーザー、ベンダーをそれぞれグループに見立ててみると、両者は対立関係にあるとみなすことができます。そうしてみると先にあげたBlasterの新規性は『あちら側』、ユーザー、ベンダーの対応の不備は『こちら側』の問題であるといえる。大雑把にわけてみるとこんなところです。

• あちら側
• いままでのウイルスにない特徴
• その特徴がユーザーの対策を妨害
• こちら側
• ユーザー
• セキュリティレベルの維持が不十分
• ベンダー(主にMicrosoft)
• 出荷状態のOSがあまりにも多くの脆弱性を抱えている
• ユーザーに対する周知の不徹底
• Hotfixの配布ルートが限定されすぎている

　2.責任の所在＿＿誰がセキュリティを保持するのか

悪いのは誰だ？＿＿ではなく

さて、ここまでだらだらと今回のBlaster騒動にはいろんなところに原因があるよね、ということを書きつらねてきました。人の常とでもいいましょうか、こういうことがあるとどうしても特定の一箇所にその責任を求めてしまう傾向があるように思います。人によってはMicrosoftが悪いといい、また別の人はユーザーのせいだという。もちろんウイルスの作者が全部悪いんだという人もいるでしょう。そしてそれぞれなりに説得力があるのも確か。
　でも、本当にそれでいいのかなぁ、という気もするんですよね。
　たとえば＿＿今回のMS03-026に限らず、脆弱性情報はネットのニュースサイトやMicrosoftからのメールで得ることが可能です。けれども一般ユーザーがどれだけその情報をキャッチしていたのか。それは今回のBlaster蔓延によって、はからずも証明されてしまいました。誤解を恐れずに言えば、一般ユーザーにはほとんど届いていなかったのです。さて、果たしてこれは誰の責任なんでしょう。効果のある広報活動を行っていなかったMicrosoftなのか、それとも情報をつかみきれなかったユーザーなのか。
　両方である、と私は考えています。
　たとえばMicrosoftが今までTVなどのマスメディアを用いて以上の広報活動を行ったとしましょう。確かに情報の伝達は早くなり、より広い範囲のユーザーに周知することができるかもしれません。けれどもそれにユーザーが聞く耳を持たなければ意味がないという点では変わりがないのです。
　一般ユーザー側には、広報活動なんてまだるっこしいことをしなくても、ベンダーがセキュアなOSを出してくれればそれでいいじゃん、という意見もあるでしょう。けれども、私はこの意見には賛同できません。

Secure by Defaultという危険性

なにゆえにベンダーがセキュアなOSを出すだけでは足りないのか。それはたとえ出荷時点における脆弱性をすべてふさいだとしても、その後で明らかになった脆弱性についてはやはりユーザーの対応が必要になるからです。少なくとも現状ではそうなっている。現状はなによりも強い。これはどうしようもありません。
　もっとも、今後はセキュアな(すべてのHotfixを適用した)状態でOSが出荷され、自動アップデートをデフォルトでオンにしておくなどといった複合的な対策がとられるようにはなるかもしれません。そうなると、ユーザーの負担は最小限になるでしょう。ここまでやれば「Secure by Default」なOSということもできるかもしれない。
　けれども、それでユーザーがセキュリティのことを考えずにすむようになるのかといえば、これが必ずしもそうではないと思います。なぜか。実のところ、ここまでやってさえ完全なセキュリティが確保できるとはいえないからです。そして完全ではない以上、必ずそこを突く攻撃が仕掛けられる可能性がある。
　さて、出荷時点におけるセキュアなOS＋自動Updateでさえ完全でないってのはどういうことでしょう。一言でいえばベンダーが既知のセキュリティホールをすべてふさぐことができるとは限らない、ということです。たとえば現時点でもセキュリティホールがあることが明らかになっていながらHotfixの用意されていない脆弱性がWindowsには存在しています。現時点では幸いにしてHotfixのリリース→ウイルスの登場という順番になっていますが、これが逆転する可能性はゼロではない、ということになる。そうなったときに「Secure by Default」に慣れきって緊張感を弛緩させていると、果たしてどんな事態になるでしょう。Blasterのとき以上の騒動が巻き起こってしまうのではないかという気がします。それでは普段のセキュリティレベルがどれだけ高くても意味がない。
　ユーザーに求められるのは普段の対策だけでなく、非常時の冷静かつ適切な対応もまたしかりということです。完全なセキュリティというものは、残念ながらありえません。だとすればそのセキュリティが破られる時が必ずやってくる。その際に適切な対応を取ることができるか否かというのは、普段からどれだけ非常時の対応を想定できているかにかかっています。それはベンダーまかせでどうにかなるものではなく、ユーザーの意識がどれほどのものかという試金石でもある。そして、それがゆえにユーザーがセキュリティのことを忘れるわけにはいかないのです。
　「Secure by Default」なOSを否定するわけではありません。それを目指して改良に励むことがベンダーのつとめだとも考えています。けれどもそれですべてが解決されてめでたしめでたし、にはならないのも残念ながら事実だと思うのです。とりわけ「Secure by Default」なOSはユーザーのセキュリティに対する意識を低下させる危険性をはらんでいる、ということは指摘しておきたいと思います。堅牢なセキュリティというのは、特定の一箇所に依存した体制のもとで成り立つものではないのです。

責任の追及は無責任の追及

確かに「こいつが悪い」と言ってしまうとわかりやすい話にはなります。なるんですが、そうすると単にスケープゴートをでっちあげて自らの抱える問題から目をそむけてしまうことになっちまったりするんですよね。ウイルス作成のかどで逮捕者が出たりもしているわけですが、これに過剰な反応をするのもやっぱり考えもんだと思います。こいつが悪い、こいつのせいだって言ってるうちに、ちゃんとHotfixの適用をしていなかった自分のことはすっかり棚の上ってんじゃあやっぱりよくないでしょう。古い話になりますが、Melissaの作者が逮捕されてもウイルスがなくなりはしなかったわけで、そこにきて今回のBlaster騒動です。で、そのBlasterの作者が逮捕されたといって大騒ぎしてめでたしめでたし＿＿になってしまったのでは、近いうちに同じことが繰り返されるのは目に見えてるんじゃないか。
　そんなわけで、悪いのは誰だ？って問いにはあんまり意味はないと思うですよ。それでもあえて、となると答えは一つしかない。
　みんな悪い。
　みんなが悪いんだったら「誰が悪い？」なんて質問には意味がないのです。

3.当たり前すぎる対策

けなしあってるヒマはない

さて、Blaster騒動の原因は『あちら側』と『こちら側』にある、といったわけですが、PCの使用者としてより重要視すべきなのはおそらく『こちら側』のほうでしょう。ウイルスがどんな特徴を持っているかを事前に予測することは難しいですが、しかるべき対応をきちんと取ることは自分自身の問題ですから。
　で、『こちら側』のフィールドにはユーザーとベンダーという二人のプレイヤーがいます。そしてその双方が問題を抱えている。だとするとやるべきなのは自分にできる対策をきっちる取ることに他ならないわけです。ユーザーであればWindows Updateの適用とウイルスパターンのアップデート、ベンダー側は短期的にはより迅速かつ効率的なパッチの配布と情報提供、中長期的にはセキュアなシステムの開発ということになるでしょうか。
　で、私も結局はユーザーの一人ですからそちら側について考えてみると、やれMicrosoftの体制がどうのとかいうようなことを言ってるヒマはないはずなんですね。確かに問題があればそれを指摘するのは大切ですけれども、その前に自分の足元をちゃんと確認することのほうがよっぽど大事なわけです。まずは自分を疑え、とでも言うんでしょうか。まあ、これはこんなことを書いている私に思い切り降りかかってくることなんですけどね。自戒しておきたいと思います。

当たり前の対策を当たり前にこなす

いまさらな話ではありますが、ウイルスが流行って大騒ぎになったというのはこれが初めての話ではありません。そして、その都度ユーザーに向かって呼びかけられた対策というのも時とともに変わってきました。出所のわからないフロッピーは使わない、メールの添付ファイルを不用意に開かない、ウイルスパターンを更新しよう、Hotfixの適用をしよう……。当たり前といえば当たり前の対策とも言えるわけですが、まずはこのへんをしっかり行うことが必要です。ネットワークに接続することが当たり前になり、かつ新しい脆弱性が次々と発見される現状において、これらの対策はPCを使う以上必須であるといえるでしょう。当たり前のことを当たり前にこなす、ということです。
　もちろんその「当たり前」が本当に浸透するまでには、ずいぶん時間がかかるんですけどね。いわゆる一般ユーザーの「当たり前」と、セキュリティを専門的に考える人の「当たり前」では当然ギャップがあるわけですし、そのギャップはそう簡単に埋まるものではないですから。個人的には、現時点での一般ユーザーの「当たり前」ってのは「メールの添付ファイルに注意」から「ウイルスパターンの更新」レベルなんじゃないかと思ってます。その中で一部のユーザーがようやく定期的にWindows Updateをするようになっているくらい。この呼びかけもずいぶん前から言われている気がするのですが、それでも実感としてはまだまだといったところ。
　当たり前のことを当たり前にこなすってのは、いうほど簡単なことではないわけです。そのための道のりはまだまだ先が長い。いいかげん同じ注意の繰り返しで飽きちゃったって気持ちはわかりますが、残念ながらもうしばらくは同じことを言いつづけなきゃ、聞きつづけなきゃいけなさそうだな、というのが私の感想です。

4.対策の応用

もう一歩先のセキュリティ意識

ただ、PCが「Secure by Default」なものになるまでの道も、ある程度は見えていると思うのです。もしこれが実現されると、上であげた「当たり前の対策」ってのは必要なくなる。結構なことではあります。しかし、だからといってセキュリティのことを忘れていいわけではないというのも先に書いたとおりなんですね。とすると、セキュリティってのが単にウイルスパターンの更新をしたり、Hotfixを適用したりするだけの話じゃないってのは、そろそろ考えておいたほうがいいんじゃないかという気がしてくる。
　とはいっても、一般ユーザーもファイアウォールのポートをふさいだり、Windowsのローカルセキュリティポリシーの細かいカスタマイズができるようにならなきゃいかん、とかいう話じゃないです。そんなのは今までどおりベンダーや、せいぜいメディアの流す一般向けの情報にまかせておけばいい。そうではなくて、セキュリティってのは単に防衛だけのことを指すのではなく、いざというときの対応もまた重要な要素なんだということをそろそろ理解したほうがいいのではないか、ということです。
　このへんの話はあまり一般ユーザーレベルにはされてこなかったという気がするんですよ。いざというときにそなえてバックアップを取るってのも立派なセキュリティなんですけど、両者を結びつけて考えてる人はあんまりいないんじゃないでしょうか。「いざというときのため」ということは理解していても、それもまたセキュリティなのだとわかっているかどうか。「守っているから安全」だけではなく、「守っているし、いざというときにはこうすればいいから安全」というように考えることができるようになると、これはずいぶんな進歩だと思います。

セキュリティはPCの外へ

企業におけるセキュリティでは、たとえばバックアップひとつとっても、その保管場所を会社とは別の場所にして、地震や火災の場合にも情報が保持できるようにする、などの対策があったりします(リスク分散)。ただし、個人レベルにおいてはそこまで要求されることはあまりないでしょう。PCがどれだけ浸透したとはいえ、個人のPCにそこまでして保持しなければいけない情報が収められていることはまだそう多くないと思いますから(情報の漏洩とはまた別の話)。けれども、そういう方法があると知っておくこと自体は無駄じゃないはずです。セキュリティってのはつまるところPCだけの話じゃなく、生活全般に係ってくるものです。そこでこういう手段があると知っているのと知らないのでは、結構差があると思うのですよ。
　日本では「水と安全はタダ」なんて言われてたこともあるぐらいでして、一般の人のセキュリティ意識というのはその間まるで鍛えられていませんでした。けれどもインターネットで「日本は安全な国だから」なんてわけにはいきません。どうしてもセキュリティのことを考える必要に迫られる。
　順番は逆になってしまいますけれども、これはある意味いい機会なんじゃないかと思うのです。
　日々報道される事件の数々によって、日本における安全神話は急速に過去のものになりつつあります。そんな中、PCの世界ではたとえ被害にあったとしても命まで取られることはまずありません。そういう意味では安全なこの世界を足がかりにして、多くの人がきちんとセキュリティについて考えることができるようになれば、度重なるウイルス騒動もそんなに悪いことばかりじゃないといえるかもしれない。
　生ぬるいことは承知の上で、そんなことを思ってみたりもするのです。