Microsoftが「Security Updates Guide(セキュリティ更新プログラムガイド)」を公開した。これに伴い、以前からセキュリティ更新プログラムの詳細をアナウンスしてきた「マイクロソフト セキュリティ情報」を2017年1月末で停止すると公式ブログで発表。その後は、Security Updates Guideでの情報提供に一本化するという。この施策はユーザーにとって有益なのか、一考してみたい。

新たに設けられた「Security Updates Guide」

Microsoftはこれまで、セキュリティ情報について多数のチャンネルを設けてきた。「マイクロソフト セキュリティ情報」のWebとメール、メディア向けにはまとめられた資料も配布している。ただし、メディア向けと利用者向けの情報量に差はなく、同じ情報を得て、月例のセキュリティ更新プログラムを適用している状態だ。さらに述べれば、Windows Insider Programに参加する必要がないMicrosoft社員も同様である。

ただ、世のメディアを見回してもMicrosoft製品のセキュリティ情報が誌面を飾る場面は少ない。筆者が寡聞にして知らない可能性がありつつも、セキュリティホールに関する扇情的な記事だけが目立つ。セキュリティ情報を能動的に収集するためのソースは、メールやWeb、第三者機関など点在しているのが現状ではないだろうか。

この点を改善するため、Microsoftは「セキュリティ更新プログラムガイド」の設立に至ったのだろう。セキュリティ更新プログラムガイドは、セキュリティの脆弱性や更新プログラムの情報をCVE (Common Vulnerabilities and Exposures : 共通脆弱性識別子) やKB (Knowledge Base : 情報ベース)、もしくは日付による並び替えやフィルター設定が可能。所有していない製品をフィルターで排除する機能や、APIを介してスクリーン・スクレイピング (人に読みやすい形式で出力した結果からデータを抽出する技術) せずに可読性を向上させる機能が利用可能になる。

ドロップダウンリストからは製品による絞り込みが行える

筆者は以前、本連載でバグフィックスの進捗状況について苦言を呈したことがある。その点に関しては「Windows 10およびWindows Server 2016 の更新履歴」で大まかな状況は把握できるようになった (それでも日本語版の更新は若干遅く感じる)。「セキュリティ更新プログラムガイド」の設立および「マイクロソフトセキュリティ情報」の廃止は、利用者がアクセスする情報を一つにまとめ上げ、情報を提供するMicrosoftと利用者の利便性向上を目指した結果ではないだろうか。

執筆時点では英語版のセキュリティ情報ページが開く。この点は今後改善されるはずだ

この点について日本マイクロソフト関係者に尋ねたところ、DevOpsというキーワードが挙がった。「Microsoft Tech Summit」でもセキュリティはメインテーマとなり、そこにアプローチするためのDevOpsは必須だと関係者は語る。筆者がグローバルな社内でウォーターホール的にアプローチする部署はあるかと質問を投げ掛けると、「知る限りでは思いつかない」と回答。Microsoftでは日々の業務や基盤の面倒を見るIT部門を含め、大半の部門がDevOps的思想で業務に取り組んでいる。蛇足になるが、Windows 10をはじめ、Ofice 365やSkypeなどもInsider Programと通じて、トリアージ的な開発を推し進めている。

DevOps的な開発環境には、拡散した情報の最適化が欠かせない。今回のSecurity Updates Guideもその一環と見れば、正しい判断と言えるのではないだろうか。重要なセキュリティ情報を適切に提示し、必要に応じて取得できるポータルサイトの設立は利用者の利益につながるだろう。

阿久津良和(Cactus)