米Microsoftの最高経営責任者(CEO)Steve Ballmerは9日(米国時間)、今後同社では、製品への新セキュリティ技術の導入と顧客の教育、そしてパッチ配布プロセスの改善に力を注いでいくと宣言した。
ニューオーリンズで開催された同社初の「Worldwide Partner Conference」は、同社会長Bill Gatesが「Trustworthy Computing Initiative」を発表して以来、最も重要なセキュリティ発表の場となった。Ballmerは同カンファレンスの基調演説で、参加者を前に、Microsoftは顧客保護のための計画をさらに強化すると述べた。
「我々のゴールは至ってシンプル。顧客に安全な製品やサービスを提供し、そしてその安全な状態を維持するということだ」とBallmerは声明で述べている。「我々は、ますます増加する犯罪者の攻撃から、顧客を保護することに全力を傾けていく」(Ballmer)
Microsoftはこれまで、ハッカーからの度重なるの攻撃と、そして同社の安全策に対する批判を受けてきている。8月と9月にはMSBlastワームが、Microsoft Windowsが稼動するコンピュータ百万台以上に感染したと見られている。またこの時期、Sobig.F電子メールウイルスも広く蔓延し、MSBlastよりもさらに多くのシステムに影響を与えた。高名な7人のセキュリティ研究者が著し、Microsoftに批判的なことで知られるComputer and Communications Industry Association(CCIA)が9月24日に発表したポジションペーパーでは、こうしたウイルスが主張の根拠として利用されている。また、Microsoftがコンピュータユーザーの個人データを危険に晒したとして、個人データ盗難の被害者代理人が同社を訴える訴訟を1週間前に起こしている。
Microsoftは、同社製ソフトウェア製品のパッチ適用システムの改善と、Windows XPおよび2003のセキュリティ技術の向上、そして顧客の教育という3分野の計画に力をいれると述べた。
Windowsコンピュータへのパッチ適用に関わる、膨大な料の作業にこりごりしているシステム管理者もいるはずだが、彼らにとって、大きな変更点となるのは、Microsoftのパッチリリーススケジュールが月ごとになることだ。Microsoftはすぐにも、顧客が攻撃を回避するのに直ちにセキュリティ欠陥を修復しなければならない場合を除き、ソフトウェアアップデートのリリースを月1回とする、とMicrosoftセキュリティ事業部門の製品管理ディレクター、Amy Carrollは述べている。
「我が社の顧客からの意見に、毎週パッチを適用するのは難しすぎる、というものがあった。パッチを頻繁にリリースすることが、却ってセキュリティホールを悪用するコードの登場を促しているという面もある」(Carroll)
Microsoftは、来年5月までにパッチのサイズを最大30%縮小し、システムの再起動が必要なアップデートの数を減らすことも計画している。また、同社の製品シリーズのパッチシステムの数も2つに減らす。さらに同社は、Windows NT4サービスパック6aとWindows 2000サービスパック2のユーザーサポートを継続することも宣言した。同社は前に、両製品のサポートを中止していた。
Microsoftは今後、現行製品ですでに講じているセキュリティ対策の手直しや追加に重点をおいていく、とCarrollは述べている。
パソコンやネットワークを防御する、Internet Connection Firewallのような手段は、初期設定のままで使用可能となり、他のアプリケーションとも問題なく機能するよう設計される。ウイルスやトロイの木馬プログラムの入った添付ファイルからOutlookユーザーを保護する、実行可能ファイルのフィルタリングは、他のMicrosoft製品にも導入される。Internet Explorerのセキュリティゾーンシステムは、顧客をよりよく保護するよう改訂される。そして、ソフトウェア開発プロセスでは、メモリの取り扱いに関するセキュリティホールの防護方法を改善する。このメモリ防護策はハードウェア面でも実施される可能性がある。
また同社は、顧客への教育を強化していく予定だ。Carrollによると、同社では、顧客をさらに安全にする上で、この計画がプラスに働くことを期待しているという。また、自社サイトではマンスリーのウェブ放送を発信し、セキュリティ関連のベストプラクティスを顧客が採り入れられるよう、トレーニングを提供する。そして、「MicrosoftはMicrosoftをどう守っているか」と題するシリーズの中では、自社での実例を題材に使いながら、システム管理者に対して、システムを安全に保つための方法を教えていく。
「我が社は、2004年末までに50万人の顧客をある程度まで訓練する、という目標を掲げている」(Carroll)
Microsoftは、今後さらに詳細を明らかにしながら、正しい方法が見つかるまで、引き続きセキュリティ計画を修正し続けていく、とMicrosoftのWindowsクライアントグループの製品管理ディレクター、Neil Charneyは述べた。
「我々は、顧客が自らのシステムを保護することが、簡単なプロセスではないことを顧客から学んだ。まだやるべき課題があるという認識が、(こうしたセキュリティ方策の変更の)弾みとなった」(Charney)
この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」