MS：「VistaのUACはユーザーをいらいらさせるために搭載した」

　サンフランシスコ発--Microsoftの製品ユニットマネージャーを務めるDavid Cross氏によると、「Windows Vista」のユーザーアカウント制御（UAC）は、故意にユーザーを「いらいらさせ」、サードパーティのソフトウェアメーカーにセキュリティの高いアプリケーションを作るよう圧力をかけるために設計されたのだという。

　Cross氏は、UACの設計に責任を持つグループプログラムマネージャーを務めていた。UACが有効になっている場合、管理者アカウントではなく標準ユーザーアカウントでVistaを使用するよう求められ、プログラムをインストールしようとすると警告が表示される。

　Cross氏は米国時間4月10日、サンフランシスコで開催された情報セキュリティイベント「RSA Conference 2008」で次のように語った。「（Vistaに）UACを搭載したのはユーザーをいらいらさせるためだ。これは真面目な話だ。これまでのWindowsシステムでは、大部分のアプリケーションをインストールしたり実行したりするのに管理者権限が必要だったが、ユーザーの多くが管理者権限を持っていた」

　Cross氏によると、ユーザーをいらいらさせるのはMicrosoftの戦略の一部であり、独立系ソフトウェアベンダー（ISV）に対して、よりセキュリティの高いプログラムを書くよう圧力をかけるのが目的だという。セキュリティの低いプログラムでは起動のたびに警告が表示されるため、ユーザーがそのプログラムを使いたがらなくなるからだ。

　「われわれはエコシステムを変える必要があった。UACはISVのエコシステムを変えつつあり、アプリケーションのセキュリティは高まっている。エコシステムを変えること、それこそがわれわれの目的だったのだ。事実、警告が表示されるようなアプリケーションの数は減っている。警告のうち、80％は10本のアプリケーションが原因となっているが、その中には、ISVの製品もあればMicrosoftの製品もある。また、今では警告の表示されないセッションが全体の66％を占めている」（Cross氏）

　Microsoftがオプトイン方式でユーザーから収集した情報によると、ユーザーの88％はUACを有効にしているという。Cross氏はこのデータを挙げ、UACを無効にしているユーザーが多いというのは作り話だと主張した。さらに、ユーザーが内容を読みもせず、やみくもに警告を了承しているというのも作り話だという。

　「ユーザーが考えもせずに『はい』『はい』『はい』『はい』とクリックしているなどというのは作り話だ。警告のうち、7％は途中でキャンセルされている。ユーザーはやみくもに『はい』をクリックしているわけではない」（Cross氏）

　セキュリティ企業のKaspersky Labは2007年3月、UACのせいでVistaのセキュリティは「Windows XP」よりも低下したとして、UACを厳しく批判した。

　しかし、2008年のRSA Conferenceでは、同社の意見が変わったようだ。Kasperskyの米国担当シニアディレクターを務めるJeff Aliber氏は、次のように語っている。「数多くの侵入ポイントを伴う広い攻撃面がある。その攻撃面を狭め、セキュリティの高いアプリケーションの開発を促進してくれるのであれば、それが誰であろうといいことに違いない」

　Kasperskyは、Vistaの発売に先立つ2007年1月、UACには効果がないとするレポートを発表した。それによると、セキュリティの観点からは見かけ上危険な振る舞いに近くても、実際は無害の動作をするアプリケーションが多数あるという。UACはそのようなアプリケーションの操作に対しても毎回警告を発するため、ユーザーとしては、とにかく警告を無視してその操作を許可するか、あるいは「頭に来る」ことのないようにUACを無効にするか、いずれかを強いられると、Kasperskyは指摘していた。