ホントにユーザーのため? マイクロソフトのセキュリティ戦略を検証する

 Microsoftは先頃、ウイルスやワーム、その他悪意あるコードが含まれたプログラムで主要なWindows製品へ侵入を試みる者の逮捕や立件につながる情報提供に対して、報奨金を支払うと発表した。

 何年も腰を上げなかったMicrosoftが突如として、セキュリティの改善に乗り出した。その結果、同社はあらゆる製品、キャッチコピー、報道発表に「セキュリティ」という言葉を氾濫させ、Windowsは今なお購入する価値あるオペレーティング環境である、と顧客を説き伏せている。

 だが、Microsoftは自らの非に触れることなく、適切なセキュリティとソフトウェア開発に着手する代わりに、頭のいいマーケティング手法を駆使する道を選んだ。問題はウイルスの作成者がWindowsに侵入すること自体ではない。むしろ、そこそこのプログラミング知識がある者なら誰でも簡単にWindowsに侵入できるという点が問題なのだ。この責任をMicrosoftは認めないばかりか、この問題に対する非難の矛先をかわそうとしている。

 情報提供に対する報奨金制度を立ち上げたことは、簡単に侵入できるプログラムを作り上げてきた過去の積み重ねから手っ取り早く世間の目をそらすための実にうまいやり方だ。Microsoftは、製品のセキュリティを守るために予防的な手段を講じるという姿勢を見せて自社のモラルの高さを誇示し(まやかしに過ぎないが)、それによって報奨金制度を立ち上げなければならなかった根本的な理由をうやむやにしているのだ。

 報奨金制度は、これまで必要に応じて発表していたセキュリティ情報のレポートやパッチの提供方式を、毎月決まった時期に1回ずつ行うという同社の最近の発表の中で述べられている。面白いことに、今年10月に出されたホワイトペーパーにおける新しいセキュリティプログラムの配付方法に関する項目では、この方法によって顧客は月に1回の操作でWindowsの累積的な不具合を修正するパッチをまとめてダウンロードできるため、手軽にシステムを最新の状態に保てると述べている。

 なるほど、それには一理ある。だがこの文章には続きがあるのだ。それは「Microsoftでは、ウイルスやワーム、アタック、その他の悪意ある行為によって顧客が緊急の危険にさらされたと判断した場合は、上記スケジュールを変更することがあります。その際は、顧客を保護するためにできる限り迅速にセキュリティパッチをリリースします」というものだ。

 Microsoftのセキュリティレポートの大半がこのような緊急を要するもので占められているという事実を考えると、今回出された新しい方針が果たして本当にセキュリティを改善してくれるのか私には疑問だ。それともMicrosoftは、今後「緊急を要する危険」の判断基準をゆるめ、山のようなセキュリティレポート(と、それを指摘するメディアの辛口記事)を減らそうというのだろうか。

 Microsoftはおそらく、定期的な月間スケジュールに外れたセキュリティパッチを発表することはまずないと思われる。リリースが頻繁に行われると、新しいセキュリティポリシーの意味がなくなり、さらにはなぜこのセキュリティリリースが他のものと比べてより重要かということをうまく説明しなくてはならないからだ。

 確かに、毎月定期的にパッチを提供する方法は、顧客がシステムを最新の状態に保つには便利だろう。しかしそれは一方で犯罪予備軍に対し、いつ彼らが自作した攻撃コードをばらまき、悪用する方法を世間に広めればよいのかわざわざ教えているようなものだ。ネットワーク管理者は、翌月のパッチが届けられるまでの間暗闇の中に放置され、やきもきすることになるだろう。次のセキュリティレポートが出るまでは、いつ自分達のネットワークが危機に直面するかわからないからだ。

 パッチの話はこれくらいにして、それ以上に興味をそそられ、わかりやすいものについて話そう。それは、数多くの頭の痛いデジタル問題を引き起こした同社が処方箋として目下売り出し中の「Trustworthy Computing」と、コードネームLonghornという次期Windowsである。これらは別の言い方をすれば、「ユーザーはシステムを保護するために金を払いなさい、さもないと危険な状態に置かれるぞ」ということだ。

 これは異常なことだろうか。いや、そうでもないのだ。10年以上前、同社はMicrosoft社製のDOS以外に初期バージョンのWindowsをインストールすると、意図的にエラーメッセージを表示するようにしていた。ユーザーがMS-DOSをインストールすると、このエラーメッセージは表示されなくなる仕組みにしていたのである。

 もっと最近の話では、Windows Media Playerのセキュリティ上の不具合を修正するという名目で、新しくお目見えして議論を呼んだデジタル著作権管理(DRM)ソフトウェアをユーザーに受け入れさせようとする出来事があった。もちろん、ユーザーはDRMソフトウェアをインストールしたくなければ修正プログラムを導入する必要はなかったが、それはインターネット上の無数の犯罪者からの攻撃や侵入にさらされる脆弱性を抱えたままになることを意味した。

 こうした動きを眺めていると、「セキュリティ」の意味が企業に都合よく解釈されているのではないかという疑念さえ湧いてくる。

 MSDNのウェブサイトによるとDRMは、Secure Execution Environmentと称するものの上で動く、Longhornの中核的なセキュリティ機能ということだ。コンピュータを動かし、あらゆる作業がその上で行われるというOSが、DRMという基盤上で稼動する(さらには、コンピュータの中のどのデータがどのように処理されたかが、Microsoftをはじめとするあかの他人に筒抜けとなる)とは、何とも恐ろしいことだ。DRMはセキュリティ機能としてではなく、むしろデジタルコンテンツを提供する事業者が自身の利益を守るために利用する追加機能とみなすべきである。

 家庭や企業のユーザーは、インターネット上でセキュリティが保護されるための契約を結ぶよう強制されるべきではない。また、情報化時代にふさわしいビジネスモデルを採用できない企業は、利益を守る侵略的なメカニズムに合わせてセキュリティの根本的な意味を都合よく拡張したり、ねじまげたりするべきでない。Microsoftは、セキュリティに対する現実的な視点を持ち、たとえば大量のアップグレードを強制する前にまずは既存のWindowsコードを1から見直すなど、効果的で現実的なセキュリティ改善法を採用しない限り、いかに声を高らかに訴えようとも顧客は新バージョンのWindows製品を使い続けることに気乗りしないままだろう。

 CEOのSteve Ballmerは近頃、情報提供の報奨金制度について、同社が「セキュリティに真剣に取り組んでいる姿勢」の現れだと述べている。だが、それはMicrosoftが「セキュリティに対する世論の動きを真剣に気にしている姿勢」が明らかになったというべきだ。この違いは大きい。

筆者略歴
Richard Forno
米Network Solutionsの元最高セキュリティ責任者(CSO)で、現在はセキュリティテクノロジスト。著書に「Weapons of Mass Delusion: America's Real National Emergency」(集団妄想という武器:米国の真の非常事態)がある。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画特集

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]