MS最高セキュリティ責任者の言い分は「ソフトウェアを安全にするだけでは十分でない」

　2002年1月15日にMicrosoft会長のBill Gates氏が全社に向けて送ったメールからはじまった、同社のTrustworthy Computingへの取り組み。このセキュリティ戦略について9月9日、Microsoft最高セキュリティ責任者であるScott Charney氏が経済産業研究所にてセミナーを行った。

　Charney氏は、IT業界でこれほどセキュリティが課題となるのは、まだ業界が成熟していないためだという。「電話などはもう誰も“技術”だと感じることもなく、日常的に使われている。電話は大変信頼できるもので、一定レベルのセキュリティも保たれているからだ。ただ、電話が現在の信頼性と安全性を持つに至るまでには時間がかかったことも事実だ」と同氏は述べ、コンピュータも電話と同レベルの信頼性を目指した戦略を立てるべきだと語る。

　そこでMicrosoftの打ち出した戦略がTrustworthy Computingというわけだが、Charney氏によると同戦略の柱は「セキュリティ」「プライバシー」「信頼性」「ビジネス統合」という4つの重要事項から成り立っているのだという。つまり、攻撃に打ち勝てること、個人情報が保護できること、可用性に優れていること、パフォーマンスが顧客の満足するレベルであること、そして顧客に対する透明性を高くし、問題点をクリアにしていくことなどが重要だという。

　具体的に同社が行っていることとして、まずエンジニアを訓練することからはじめているとCharney氏はいう。「エンジニアはみな、機能的で効率のいいコードを書く訓練ばかり受けてきて、実はセキュリティの高いコードを書くことに慣れていなかった」と同氏は明かす。エンジニアを訓練するほかにも、コードをレビューしたり、実際に攻撃を仕掛けてみて脆弱性を見つけるといった方法で、信頼性の高い完成品ができるよう努めているとCharney氏。また、自動コード生成ツールなども利用しているという。

Microsoft最高セキュリティ責任者 Scott Charney氏

　Charney氏は、パッチがうまく管理されていないために攻撃に遭うというケースが多い点も問題視しており、新しいパッチ管理ツールも用意するという。また、ホワイトペーパーなどを発行し、同社のセキュリティ戦略の方向性や現状などを積極的にアピールしていくとしている。ほかにも同社では、セキュリティベンダーとの提携や各国政府との協力でセキュリティ対策に取り組み、大学などにソースコードを公開してレビューしてもらい、フィードバックを受けるといったことも行っている。

　Microsoftは年間50億ドルをR&Dに投資しており、Charney氏によるとその中でもセキュリティへの投資の割合は高いという。同氏は、次世代のセキュアコンピューティング基盤として、Microsoftがハードウェアベンダーと共同で安全対策に取り組む戦略を進めていると述べた。「安全なソフトウェアを作ったところで、トロイの木馬のようなウイルスの侵入を防ぐことはできない。そこで我々が考えているのは、ハードウェア上でセキュリティを確保するというものだ。ハードウェアパートナーに安全なチップセットを開発してもらい、それをPCの一部に埋め込む。そのチップが埋め込まれた部分では、ユーザーが信頼できるプログラムしか動かないようにするといった、ハードウェアレベルでのセキュリティ管理が可能となる次世代のセキュアコンピューティング基盤を考えている」

　Charney氏はまた、ユーザー自身も自らPCを守るよう心がけることが大切だという。「車が発明されたとき、みなすばらしい技術だと感じたが、交通事故などが起こり問題となった。その結果、信号機ができたり交通ルールができたりして状況が整備されてきたのだ。これと同じことがITの世界でも起こっている。交通事故と同じで危険度をゼロにすることは難しいが、環境整備で安全度を上げることはできる。Microsoftでは“自分のPCを自分で守れ”というキャンペーンを行っていて、ユーザー自らがウイルス対策を行い、最新のパッチを当て、ファイアウォールを利用するよう勧めている」と、個人でできる環境整備の大切さを述べた。