吉川です。

今月のセキュリティ ニュースレターや、Security Summit 2005でも紹介してますが、「Microsoft Office Visio 2003 Connector for the Microsoft Baseline Security Analyzer (MBSA)」って評判を聞きたいですね。試した方のFeedbackなどいただければ、開発元に伝えられると思います。 http://www.microsoft.com/japan/technet/security/tools/mbsavisio.mspx

Visio 2003 ユーザーのセキュリティ管理者の方はぜひ！Visio 2003をお持ちで無い方は評価版を Web でオーダーできますから、まずはお試しいただきたいと。。。どしどし(無償の)新テクノロジーが出てきますが、適材適所で使ってもらえればうれしいです。

吉川です。

さて、2005年に予定されている大変重要なプロジェクトが、ようやく社外に対して公開されはじめました。Microsoft Update と Windows Server Update Services (WSUS)です。Security Summit 2005でも大きく取り上げた項目です。ともにベータテストプログラムおよび出荷候補版(RC)の公開の開始です。いよいよ、更新プログラム適用管理環境の大幅な改善のときが近づいているという感じです。製品自体のセキュリティ品質の継続的向上の成果としての更新プログラム数の削減とあいまって、IT管理者の工数＆コスト削減に寄与できることを切に願います。下記にそれぞれの評価開始方法を書きます。

まずは Microsoft Updateから！

Microsoft .NET Passport アカウントを所有しているユーザーは誰でも Microsoft Update ベータ プログラムに応募することができます。応募のプロセスは、1、2 営業日を要する予定です。Microsoft Update ベータ プログラムへの応募を希望するお客様は、以下のステップに従う必要があります。

1. beta.microsoft.com にアクセスします。

2. .NET Passport にサインインします。

3. ゲスト ID 用の指示に従います。

4. ゲスト ログインで、WUBetaReq を使用します。（注: このログインは、大文字、小文字を区別します）

5. Microsoft Update を選択します。

6. 応募アンケートが、ページの左側に表示されます。

7. アンケートを完了してからサインアウトするか、またはサインアウトのみを行います。

次にWSUSです！

WSUSのRCは下記のURLからダウンロードできます。約130MBです。

http://www.microsoft.com/windowsserversystem/updateservices/evaluation/trial/default.mspx

ダウンロードには、.NET Passportでサインインしてから後、簡単なアンケートに答える必要があります。既にニュースレターなどの購読時に基本情報をmicrosoft.comに登録している方は、ほんの数項目を回答するだけで完了です。アンケートの回答終了後、すぐにダウンロードが開始されます。ちなみに、1ファイルで多言語対応しています。

残念ながら、ダウンロードページも含め、技術ドキュメント等はまだ英語のみですが、今後順次日本語されていくことになると思いますので、しばらくはご迷惑をおかけしますが、ぜひ評価をしてみてください。バグレポートは、http://beta.microsoft.com/ で受け付けています。手順は下記のとおり。品質向上にご協力いただければ幸いです。

吉川です。

さて、Security Summit 2005 名古屋を終了して、東京に戻ってきました。

今回3都市共通の感覚は、「会場からのお客様の真剣な空気が伝わってきた」ということです。まだ、アンケートの集計やフリーコメントの閲覧をしていないので、なんとも言えませんが、休憩時間の雰囲気や、終了後の雰囲気を見る限り、弊社の取り組みへの注目は大変高いものと、あらためて感じました。

河端さんのBlogでは、スピーカーとの意見交換をする時間がなくて残念だったとのこと、大変申し訳ありませんでした。山近さん、小島先生もいらっしゃっていたとも聞いております。失礼いたしました。なにせ、大阪での開催は1回目ということもあり、小職正直終了後は控え室で燃え尽きておりました。実は、他のデモ担当者は、自分のパートが終了直後にそれぞれ、東京の仕込みのために新幹線に飛び乗っていたのでした。また、どこかの機会で直接お話させていただけることを楽しみにしています。

-------------

更新履歴：

河端さんのお名前、漢字間違ってました。いきおいで書いてしまったです。スミマセン。

吉川です。

名古屋のホテルからです。今日(昨日?)は、東京でのSecurity Summit 2005を開催して、その足で名古屋に移動してきました。今日（本当に今日）は、名古屋でのSecurity Summit 2005です。これで、大阪-東京-名古屋の3開催をまもなく終えます。あとちょっとです。

東京では1,800人を超えるお客様にお越しいただいて、大変盛況に終えることができました。Security Summitは、マイクロソフトのセキュリティへの取り組みの最新情報を直接お話させていただく年に1度の重要な機会です。今年も内容は盛りだくさんでした。コンテンツ作成を古川氏中心に行ってきたのですが、1年を振り返ってみると、本当にいろいろあったなぁという感じでした。そして、今後1年もいろいろあるなぁと。。。休憩を入れて3時間という長丁場でしたが、最後までお付き合いいただいたお客様に本当に感謝です。東京では、マイクロソフト製品のセキュリティ強化に関する社内の責任者であるGeorge Stathakopoulos (Security Business & Technology Unit) に日本に来てもらい、開発の現場や脆弱性報告に関するレスポンス活動の実際を直接伝えてもらいました。普段、日本法人の社員では伝えきれないリアリティが伝わっていればうれしいのですが。。。

今後の技術革新への投資分野の説明部分に関しては、実際のところまだまだ詳細な情報をお伝えできないことが、少々歯がゆかったのは確かでしょう。お客様も、もっとはっきりいってくれぃ、というお気持ちだった思います。それぞれの製品、テクノロジーも、もう少し時間がたてばより詳細な内容をお伝えできると思います。今後とも、憶測記事などで曲解されないことを祈るばかりです。我々の目的は、何の濁りも無く、Windowsをお使いいただいているお客様を保護することなのですから。。。これだけ多くのお客様がWindowsをお使いなのですから、責任ある取り組みを行うことは我々の責務であること、今日は改めて胸に刻みました。

登壇後なので、口調がスピーチ調かもしれませんね(笑)。

あと1開催を残すのみ。チームの皆には日ごろのスーパー ハード ワークの中、イベント開催で更なる負荷がかかってしまった。ありがとう。

セキュリティレスポンスの奥天です。

気がつけば、しばらくブログの投稿が滞っていました。
みなさん、忙しいんですか？と聞かれますが、3月は新規のリリースがありませんでしたので、仕事的には次の更新プログラムの準備と、メッセンジャー上で悪さをするワームの対応とか、情報のトラッキングくらいでしたので、厳しくは無かったのです。
ただ、チームの大半が本社で行なわれたサミットに参加していたので、時間が取れなかったんです。このサミットでは、日本でも今行なわれている Security Summit 2005 の内容について説明を受けました。また、当事者である私たちも、いろいろな改善を今後計っていくよう、その方向性の確認をしたしだいです。
それにしても、チームが不在だったとき、日本で何か起きていたらとおもうと、気が気じゃなかった。。。ですので、メールは常に開けっ放し。日本とアメリカの時差って、実はアメリカで日本人が働くほうが厳しいんですよね。日本の夕方から夜は、アメリカの深夜12時以降でしょうか。出張でいくと日本の営業時間にぴったり合ってしまって、メールを見始めると寝られないのです。そしてアメリカの朝は早い。。。ひどいときは毎日3時間くらいしか寝られないので、よっぽど日本にいるほうが楽ってことになります。海外出張が多い人は、きっとウンウンって感じでしょうか？

っと、セキュリティと関係ない話に脱線しましたが、今はセキュリティサミットの真っ最中。今回は先日米国で発表のあった我々の取り組みを公式にお話できるチャンスですから、我々セキュリティチームも頑張っています。すでに会場は満員ですが、お手すきの皆様は参加いただければ私たちの方向性をチェックいただけるものと思います。
4月からは個人情報保護法もスタートしますし、情報の保護を前提とした e文書法に関するメリットも受けられません。では実際に何をすれば？そういう不安と期待が満員の会場に満ちていたようです。

徒然なるままに書いておりますが、ひとつ気になる記事がありました。
こちらの記事やこちらの記事がそれです。また、小島先生にも取り上げていただきましたが、海外の憶測記事をそのまま翻訳して載せちゃうのって、誤解につながっちゃいますよね。一言ご確認いただければ誤解もなくなると思うんですけど・・・
Security Update Validation Program (SUVP) については、セキュリティサミットでも取り組みの一端としてご説明しています。実際のところは、過去からソフトウェアの互換性を高めることがお客様のもっとも望んでいることですので、いくつかのお客様にご協力いただき、互換性テストを事前に行なっていただいています。その取り組みに米国空軍も協力を始めていただけるようになっただけで、何も特別なことは無いのです。
主旨を理解してくださった限定的な一般の企業の皆様にも参加していただいていますが、参加者のアクセス履歴も把握していますし、大変限定的なアクセスのみ許されています。記事にあるような早期のパッチの展開は、このプログラムではご法度です。なぜなら、作成初期にはバグが含まれている可能性が高いからです。逆に不完全かも知れないものを、事前に本番システムに展開する担当者など・・・
セキュリティ更新プログラムの公開と同時に攻撃コードが出てくるという現状を指摘したのは、ほかならぬマイクロソフトです。私たちもこのプログラムがリスクを伴うことも理解しておりますから、参加いただく方についても同じ意識を共有して作業を進めているものです。

次回は、米国で再び話題になっている Rootkit について書いてみようかな、と思います。