FreeBSD上で安全にソフトウェアをアップデート--注意点とその手順

　ソフトウェアのアップデートには恐怖や不安がつきものであり、びっくりするようなエクスペリエンスが待ち受けていることもある。しかし、FreeBSDのソフトウェアアップデートでは、しっかりした作業手順を用いることで、こういった不確かな要素をなくすことができる。

　先月執筆した記事「Microsoft makes Firefox vulnerable: Mozilla responds」（MicrosoftはFirefoxを脆弱にしたとMozillaが回答）において、筆者はMicrosoftが2009年初めにユーザーに通知することなしにFirefoxの動作に変更を加えた事件の現状を解説している。このアップデートによって、.NETの脆弱性がInternet Explorerと同様、Firefoxにも影響を与えることになったのである。また、Think Securityの記事「Update Cautiously」（アップデートは慎重に）では、その影響範囲の大きさからここ数年は記憶に留められるであろう2つの事件も紹介している。それらは、SQL Slammerワームが標的にしている脆弱性に対処するパッチが別のパッチによって無効化されたというもの、もう1つはMicrosoft Windows XP Service Pack 1の適用によって多くの重要なソフトウェアが機能停止に追い込まれたというものである。

　ソフトウェアのセキュリティアップデートを早急にインストールすることが、常に良い考えとはならないと主張する人はあまり多くいない。しかし、こういったソフトウェアの落とし穴を避けるうえでは、ソフトウェアアップデートの詳細な内容やリリースの経緯に注意を払う必要がある。自宅で使用するシングルユーザーのデスクトップコンピュータであっても、アップデートのインストール前に調査を行い、特定のアップデートをインストールしないようにする（例えば、.NETソフトウェアをいっさい使用していないのであれば、Firefoxを脆弱にしたような.NETのアップデートは適用しないようにする）ことは、コンピュータのセキュリティ戦略として重要なものとなるだろう。

　一部のソフトウェア開発者やベンダー（特にAppleやMicrosoftといった大規模な企業ソフトウェアベンダー）は自分たちが最も物知りであると考えているため、たいていの場合にアップデートの適用対象と適用時期の決定は自分たちに一任されて当然だというスタンスを取っている。どのような理由にせよ、自らのソフトウェアについての意思決定を行えず、またソフトウェアのアップデートを行ってくれる技術者に心当たりの無い人々は、ベンダーの言葉をそのまま信じた方が良いだろう。しかし、技術に造詣が深く、コンピュータやそのコンピュータに格納されているデータのセキュリティに関心を持っている人々は、すべてのアップデートについて、それを適用する前に最小限の調査を行うべきなのである。

　変更によって発生した予期せぬ障害に対処する最も確実な方法はもちろん、システム上にあるすべてのものをバックアップしておくことである。こういったバックアップを管理できる技量を持ち合わせているのであれば、ソフトウェアアップデートを実行する直前に新しいバックアップを作成しておくことを忘れないようにしてほしい。しかし、システムのスムーズな運用を妨げるような変更を元に戻す方法があったとしても、最初から問題を発生させないようにする方が良いはずだ。

　ある種のOSは、ある種のアプリケーションの場合と同様に、こういったことが容易になっている。特にFreeBSDでは、ソフトウェアのアップデート時にユーザーに影響を与える可能性のあるものごとや問題について具体的な説明が提供されるとともに、インストールされているソフトウェアの脆弱性について簡単に監査できるようにもなっている（関連英文記事）。例えば、テスト用の環境が整っていなかったり、詳細な調査を行うためのリソースが十分ではない場合、問題を発生させることなくスムーズにアップグレードを行う鍵は、アップデートの手順を分割することで調査を容易にするとともに、システムに対する影響が発生する前にアップデートにまつわる問題の発見と対処を容易に行えるようにする指針を用意しておくことである。こういったプロセスを簡単に整備するために、FreeBSDのportsシステムによってUPDATINGノートが提供されている。