マイクロソフト、セキュリティ関連の取り組みは「まだ道なかば」

　Microsoft会長のBill Gatesが、社内に対してソフトウェアのセキュリティ改善に向けた取り組み強化を求めてから2年が経過した。いま顧客の間からは、同社では成果が現れはじめているという意見も聞かれるが、ただしまだ改善すべき事柄がたくさん残っている。

　Gatesは2002年の1月、「Trustworthy Computing」（信頼できるコンピ ューティング）と呼ぶ、改善プログラムを開始した。これは、Microsoft社員向けに、同社製品のセキュリティ向上と、顧客への対応改善に力を注ぐよう促す目的で考えられたものだった。これにより、同社はソフトウェア開発をいったん停止してコードの見直しを行ったため、結果的に製品の出荷が遅れ、また社内開発プロセスを再編成することにもなった。

　Microsoftは現在、セキュリティに対するアプローチに関して数多くの変更を加えたことを、成功の指標としてしきりに宣伝しているが、それを最も明確に表している数字がある。

　同社は、Windows 2000オペレーティングシステムのリリース後6カ月間に、システム関連の欠陥を警告する32件のセキュリティ勧告を発したが、そのうち21件は深刻度が最も高い「緊急」な脆弱性だとされた。これに対し、Windows 2000の後継ソフトにあたるWindows Server 2003の場合、リリース後6カ月間に見つかった欠陥は、徹底したコードの見直しを経た後わずか14しかなく、そのうち「緊急」なものは6つだけだった。

　MicrosoftのSecurity Response Center（MSRC）でグループマネジャーを務めるKevin Keanは、「顧客はいま、1年前より安心できるようになったし、今後はもっと安心できるようになるだろう」と語った。

　CNET News.comが取材したMicrosoftの複数の顧客も、最新の製品には改善のあとが見られるとの点で意見が一致した。だが、これらの顧客は、こうした改善も同社の全製品に見られるわけではなく、Trustworthy Computingプログラム以前に発売されたものにはまだまだ問題が見られると指摘している。そして、現在一般に利用されている同社製品の大半が、こうした古いソフトである。

　「問題なのは依然として多くの製品が残されていることだ。新しいコードを投入するのも方法として正しいが、既に市場に出ている製品については十分な対応がされていると思えない」と、大手小売チェーンで情報システム管理者として働くJoe Peloquinは述べている。

　ほかの顧客も同意見で、Trustworthy Computingプログラムの開始以来、Microsoftは、システムを動かしておくのに必要なツールを提供することについては、立派な仕事をしてきているという。。イリノイ州ベルウッドにあるSleepeck PrintingのMISマネジャー、Joe Brunnerは、Trustworthy Computingのおかげで、「ソフトウェアの監視用に、前よりも便利なツールがいくつか提供されるようになった」と語った。

　「現在セキュリティの問題が、いろいろな事柄に影響を与えている。Microsoftは引き続き、Trustworthy Computingの取り組みを、最優先事項に掲げている。だが、これは1週間程度で解決できる問題ではないし、まして（その取り組みを発表する）プレスリリースを出しただけで片づくようなものではない」（Brunner）

信頼の4つの柱

　セキュリティは、Trustworthy Computing構想が掲げる4つの目標の1つに過ぎないが、おそらくこれが最も目につきやすいものだ。プライバシー、信頼性、そしてビジネスの整合性というほかの3つの分野におけるMicrosoftの取り組みは、セキュリティ分野の動きほどに目に見えるものでもなく、その分論争を巻き起こしたりすることもなかった。そして、MSBlastやMicrosoft SQL Slammerといったコンピュータワームの流行で、インターネットが崩壊状態となるなかで、Microsoftのセキュリティ問題に関する失敗が、ますます目立ってしまうことになった。

　Slammerは、Trustworthy Computingの取り組み以前に開発された製品に影響を与えるものだが、一方Blasterの名前でも知られるMSBlastは、Microsoftによるコードの見直しでも見落とされたエラーを悪用するものだ。

　調査会社Red Monkのアナリスト、Stephen O'Gradyは、「Blasterは確かに、ある意味でMicrosoftのセキュリティ関連での甘さを非難するものだ。もし自分が（Trustworthy Computingグループで）働いているとしたら、Blasterが心配で、夜も眠れなくなるだろう」と述べている。

　Microsoftの幹部は、このような事件が起きたことで、企業が新製品の購入を手控え、代わりに既存のインフラの補強に予算を回していることを認めている。Gatesは、顧客の間からこのような反発が生じるのを目にするとすぐに、Trustworthy Computingの構想を立ち上げた。

　Gatesは、Microsoftの社員や顧客に2年前に送付したメモに、「今日、先進国では電気や水道の供給を心配することはない。電話に関しては、いつでも使えること、そしてそれが心配のないものであることを前提として、機密性の高いビジネス上の取引に利用している。電話なら、だれにどのような内容の連絡を取ったかという情報が漏れる心配もいらないからだ。ところが、コンピュータはこうした点では電話に到底及ばない」と書いている。

　Microsoftは昨年、セキュリティに改めて重点を置いたWindows Server 2003、Windows Office 2003、そしてExchange Server 2003の3つの製品をリリースした。また「Yukon」というコード名で計画中の、Microsoft SQL Serverデータベースのアップデートなど、現在開発中のほかの製品については、セキュリティ面の問題を完全に排除すべく、開発期間中に定期的にコードの見直しが行われている。

　しかし、以前にリリースされた、最新のものに比べてセキュリティが甘いソフトウェアが、Windowsをはじめその他のアプリケーションでも、いまだに多く出回っており、Microsoftはそうしたソフトウェアを利用する顧客がリスクを軽減できるよう、教育とサポートにも力を入れなくてはならなかった。

　同社は、IT管理者向けにネットワークのセキュリティ強化に役立つツールをリリースしている。また、企業の従業員が自分でコンピュータを保護するためのやり方を詳しく説明した、広範な内容を盛り込んだホワイトペーパーも公表した。さらに、個人ユーザーに対しては、「Protect Your PC」 キャンペーンを通じて教育活動を試み、Windows XPに付属するファイヤーウォールを使った基本的な保護機能の設定を有効にし、またオペレーティングシステムやウイルス定義ファイルを定期的に更新するよう呼びかけてきている。

　「こうした活動により、前よりもたくさんのユーザーが自動更新機能を利用し、修正用パッチをダウンロードするようになっている」とMicrosoftのKeanは述べている。

　Microsoftは、これまでよりも迅速にパッチをリリースしていると、Lynx Consulting Group社長のMitchell Rubinはいう。ペンシルバニア州スプリングフィールドを本拠地とする同社の専門はWindowsベースのシステムだ。だが、パッチ配布のプロセスはもっと簡素化する必要がある。「どのパッチをダウンロードすべきが、いまだにわかりずらく、またWindowsやOfficeでは何カ所もアクセスしないと更新できない」（Rubin）。Microsoftはパッチの管理システムの大幅な作り直し作業を進めているといっていたが、この成果が発表されるのは今年春になると見られている。

　Rubinは、MicrosoftにとってTrustworthy Computingプログラムは、セキュリティ関連の取り組みの進捗度合いを測るものさしになっている、と述べている。「Microsoftはずいぶんと良くなっている、特に昨年は大きな改善が見られた。Trustworthy Computingは2年前に始まったが、最初の6〜9カ月はいろいろな事柄を整理することに追われていた。Microsoftは、ある意味で製品の数が多過ぎ、それが作業をいっそう厄介にしている」（Rubin）

　Trustworthy Computingプログラムを実施した結果、Microsoftはまたセキュリティ勧告の扱い方も変更した。同社はセキュリティの問題が見つかった際に、顧客にそれを知らせ、また各々の問題の深刻度を伝えるために、こうした勧告を公表している。

　同社は、勧告のリリースを、以前の2、3週間に1度のペースから、いまでは月に1度定期的に行うように改めた。また、 Sobig.FウイルスやMSBlastワームをリリースした人間もしくはグループに懸賞金を課すことで、ワームやウイルスを作成するプログラマへ圧力をかけてもいる。

　さらに、長年Microsoftのイメージに泥を塗ってきたバグ発見者らのなかには、同社のセキュリティグループが前よりも協力的になったことに励まされ、同社への態度を軟化させはじめた者もいる。

　「Microsoftの対応はかなり良くなった」とセキュリティ会社PivX Solutionsのシニアセキュリティリサーチャー、Thor Larholmは述べている。同氏は、Microsoft製品のバグを頻繁に発見している人物だ。「いまだに問題を抱えているとしても、Trustworthy Computingの意気込みに負けない働きぶりだ」（Larholm）

　だが、Microsoftが矢継ぎ早に始めたさまざまな活動が、本当に進歩があったことを示すものかどうかについて、疑問を呈するセキュリティ専門家もいる。

　「さまざまな動きが見られるが、必ずしも成果を上げているとは言いえない」というのはBruce Schneier。Counterpane Internet Securityの最高技術責任者（CTO） を務める同氏は、"Beyond Fear: Thinking Sensibly about Security in an Uncertain World"という書籍の著者でもある。同氏はまた、IT市場におけるMicrosoftの支配によって、壊滅的な大惨事が生じるリスクについて警告する報告書の起草に参加した、7人のセキュリティ専門家のひとりでもある。

　ITインフラに対するリスクについては、Microsoftのライバルでさえ、同社にきちんとしてもらいたいと願っている事柄だ。

　「マクロレベルでみれば、どのITベンダーにも、もっとセキュリティ面の改善に取り組む必要があるといえる」と、Oracleの最高セキュリティ責任者を務めるMary Ann Davidsonは述べている。

　Davidsonによると、Microsoftがセキュリティ改善へ力を入れていることは、同社がセキュリティの問題が原因で売上を失ったという事実と合わせてみると、顧客がもっと優れた製品を要求している証拠だという。「企業には顧客に対する道義的な責任がある。IT分野も例外ではなく、顧客はベンダーのソフトウェアに、自社のビジネス全体を賭けている。だから、顧客はソフトウェアが壊れるとは思っていないし、また実際にそうであるべきだ」（Davidson）

　一方、Microsoftはどうかといえば、1年前と同じセリフを口にしている。つまり、セキュリティの取り組みは時間がかかるもので、結果がでるまで辛抱が必要なのだという。

　「たった24カ月でインフラを入れ替えることは不可能だ」というのはMicrosoftでセキュリティ戦略を担当するScott Charney。同氏は、これまで何度もTrustworthy Computingの取り組みを、月面着陸に成功するまで10年かかったNASAのアポロ計画に喩えてきている。

　「より良いユーザー教育も、ツールの改善も、技術の向上も、すべてが必要だ」とCharney。「"Microsoftはこうしたすべてのものを必ず提供すると約束できるか?"と問われれば、答えは"イエス"だ。"着実に前進してきているか?"という質問には、これも"イエス"だ。しかし、"すでに終わりに近づいているか?"と聞かれれば、絶対"ノー"と答える」（Charney）

　アナリストのO'Gradyは、Microsoftに対して「確かに改善した」という評価を与えると述べた。「だが、いまだに必要なところまで進んではいない。それでも、彼らが少なくともこの問題を真剣に受け止めていることは、数字に現れている」（O'Grady）