セキュリティ対策は「多層防御で」：マイクロソフトのセキュリティサミットにて

　マイクロソフトは3月8日、同社のセキュリティに対する取り組みをユーザーに直接紹介するためのイベントSecurity Summit 2004を開催した。2時間にわたる講演会では、同社執行役で最高セキュリティ責任者を務める東貴彦氏と同最高技術責任者の古川享氏が中心となり、同社がユーザーの声をいかにセキュリティ対策に反映させているかをアピールするとともに、ユーザー自身のセキュリティ意識を高めるためのメッセージを投げかけた。

　東氏によると、同社製品のセキュリティに対するユーザーの声は主に4つ。それは、同社製品を企業内で安全に活用するためのよい方法を知りたいということ、製品パッチが頻繁に公開されるため、常に最新の状態に保つことは不可能だということ、パッチの品質が低く、適用プロセスに一貫性がないこと、製品自体に脆弱性が多すぎることだ。

　このひとつひとつに対し、マイクロソフトは対策を立てている。同社では、企業で安全にマイクロソフト製品を利用してもらうための無料トレーニングSecure System Training Tour 2004を3月9日より6月まで全国で300回以上開催する。パッチの公開頻度については、昨年10月より月1回の定期的なアップデートとなったのは既報のとおりだ。パッチ適用プロセスに関しても、パッチで不具合が起こった場合はパッチを適用する前の状態に戻せるというロールバック機能をつけたり、未対応のパッチを管理する分析ツールを用意したり、リブートの必要なパッチの数を減らしてダウンタイムを削減するといった方法を取っているという。

　また、最も重要なソフトウェアの品質そのものの向上についても、同社では「Secure by Design（セキュアな設計）」「Secure by Default（セキュアな標準設定）」「Secure in Deployment（セキュアな運用・展開）」「Communication（コミュニケーション）」という方針で品質向上に努めているという。「セキュリティを考慮した機能を実装し、攻撃対象となるコンポーネントを削減する。また、安全にシステムを管理できるようにし、セキュリティ関連コミュニティとの協調作業を進めている」と東氏は述べ、Windows 2000 Serverでは出荷後292日までに公開された脆弱性の数が38だったのに対し、この方針の下で開発された初めての製品Windows Server 2003では、同一期間に公開された脆弱性の数は9に激減したと説明した。

　東氏はまた、セキュリティ対策には「多層防御（Defense-in-depth）」が重要だと強調する。「アプリケーション層でウイルス対策やユーザー認証を行い、ホスト側で侵入検知を行い、ネットワーク層でファイアウォールを用意するといった対策だけではまだ不十分。物理的なセキュリティ対策として、入退室の管理を行ったり、社員全員にセキュリティポリシーを守ってもらうべく教育したりすることも重要だ」と東氏は語り、「セキュリティ更新プログラムは、多層防御のほんの一部にすぎない」と述べた。

	Windows XP SP2でWindows Messengerを立ち上げると、このような画面が表れる（クリックすると拡大します）

　2004年上半期にリリースが予定されているWindows XP Service Pack 2では、クライアントPC単体で多層防御を実現すべく、数々の対策が盛り込まれている。ファイアウォール機能がデフォルトで有効となっており、例えばWindows Messengerなど外部と通信するアプリケーションを利用する際には、許可を求める画面が表示されるようになる（写真）。また、より安全なブラウジング環境を実現するために、悪意のあるActiveXコントロールとスパイウェアからの防御機能の設定を簡素化したり、メモリ保護機能を向上させるためにコンパイラチェック機能でスタックオーバーランを削減したりする機能が実装されるという。

　Windows XP SP2のほかにも、Windows Updateと同様の機能を企業内に構築するためのSoftware Update Services（SUS）や、セキュリティが最新状態に保たれているかどうかをチェックするためのMicrosoft Baseline Security Analyzer（MBSA）といった無償ツールの最新版が近々リリースされるのに続き、2004年下半期には、安全なクライアントPCにのみ接続を許可する機能を備えたWindows Server 2003 Service Pack 1がリリースされるという。

　マイクロソフトとして提供できるものは用意したとアピールする東氏と古川氏。それを利用するのはユーザー側であるという点を強調するべく、古川氏は同社が提供するものを十分活用してほしいと呼びかける。「無償のトレーニングコースは是非受講してほしい。また、SUSやMBSAなどのセキュリティツールも評価と導入を検討してほしい。今後はマイクロソフトから技術的なガイダンスのみならず、組織全体として何をすべきかというガイダンスも提供するので、それを活用してもらいたい。そして、マイクロソフトプロダクトセキュリティ警告サービスというメールを購読し、ぜひセキュリティ情報をいち早く手に入れるようにしてほしい」（古川氏）