MSセキュリティ責任者、「Windowsの脆弱性がオープンソースより多いわけではない」

　Microsoftセキュリティ戦略グループのリーダーであり、Trustworthy Computing最高責任者となっているスコット・チャーニー氏が来日した。同氏は、信頼性の高いコンピューティング環境を実現するためには、公的機関と民間組織の協力関係が重要だと主張するとともに、同社が行っているセキュリティ対策について語った。

Microsoft Trustworthy Computing最高責任者のスコット・チャーニー氏

　「われわれはコンピュータネットワーク環境に依存している。電力や通信のみならず、銀行や一般企業でもそうなのだ。ネットワークが一時中断するだけで大変な影響を受けることになる。しかし、このようなインフラの保護は簡単ではない」。チャーニー氏はこのように述べ、ネットワークインフラの重要性を説明する。インフラの保護は国家公安に関わることであり、そのための法律などは政府が責任を持つものだが、インフラ自体の維持や管理は民間が行っているもの。そのため「両者の間で協力関係は不可欠」とチャーニー氏は主張する。

　チャーニー氏の今回の来日目的のひとつは、同社が提供するGovernment Security Program（GSP）を日本政府にも採用してもらうよう働きかけることだ。これは、世界各国の政府機関に同社製品のソースコードや技術情報を提供するプログラム。このような動きを通じて同社は自社製品のソースコードを一定条件下で開示し、信頼感を高めたい考えのようだ。「GSPは社会インフラに対する不安を払拭するための方法のひとつ」とチャーニー氏は説明する。

　同プログラムは、各国政府がLinuxなどオープンソースソフトウェアの採用に積極的な姿勢を見せていることに対してMicrosoftが取った対策だという声もある。ただ、チャーニー氏の意見としては、「オープンソースソフトウェアはプロプライエタリソフトウェアよりも安全性が高いといわれているが、統計的な事実はない」としている。「公開されているセキュリティホールの数を実際に数えてみればわかることだ。Microsoft製品の成績はそう悪くないはず」と同氏は述べる。

　同氏は、Microsoftが同社製品の安全性を高めるためにSecure Windows Initiativeという取り組みを行っていること例にあげ、開発の工程もセキュリティに焦点をあてるよう変更したと説明する。「製品設計の初期に脅威モデルを作り、その製品がリリースされた際にどのような脅威にさらされる可能性があるのかを想定したうえで開発をはじめている。設計段階、開発段階、テスト段階など、すべての工程に置いてセキュリティ事項を盛り込んでいる」（チャーニー氏）。Windows Server 2003では出荷段階においてこの方法が取られ、脆弱性が減少したが、「Longhornの開発では初期段階からこの方法が取られる。そのため脆弱性はさらに減ることになるだろう」とチャーニー氏はいう。

　チャーニー氏は、「オープンソースソフトウェアは多くの人がソースコードを見ているが、セキュリティだけに焦点をあてた見方はしていない」と指摘する。また、同社がセキュリティを専門に取り扱うチームを編成した際、人員確保や教育に苦労したことから「この分野のエキスパートがいかに少ないかを実感した」という。

　「Trustworthy ComputingはMicrosoftだけの問題ではなく、業界全体の問題だ。わが社の取り組みとして、セキュリティ専門チームの編成や書籍の出版、セキュリティ自動チェックツールの開発などを行っているが、オープンソースソフトウェアや他ベンダーも同じような取り組みをすべきだろう」（チャーニー氏）