logo

「セキュリティ対策は、人・プロセス・テクノロジの連携が必要」とマイクロソフト

藤本京子(CNET Japan編集部)2004年02月25日 21時23分
  • このエントリーをはてなブックマークに追加

 マイクロソフトは25日、同社のセキュリティに関する取り組みについてプレス説明会を行った。同社がTrustworthy Computing戦略を打ち出してから約2年、ユーザーにセキュリティへの認識をさらに高めてもらいたいという考えの下で、同社の今後の施策などが語られた。

 マイクロソフト執行役でチーフセキュリティアドバイザーの東貴彦氏はまず、「ソフトウェアの脆弱性というのは、欠陥とは違う」という点を強調した。同氏によると欠陥とは、設計とは違ったソフトウェアができあがってしまうことであり、脆弱性とはソフトウェアが製品として出荷されたのちに発見されるセキュリティ上の問題のこと。脆弱性は攻撃者が存在してはじめて被害が出るもので、同社では脆弱性を「こわれやすさ」ではなく「攻撃しやすさ」の度合いによって、「緊急」「重要」「警告」「注意」の4段階にランク付けしている。

 マイクロソフトでは2003年10月より、それまで不定期に発表していたセキュリティパッチを定期的に月1回の発表とし、緊急度の高いものに対して随時発表するとしていたが、今年2月に入ってInternet ExplorerのURL偽造問題に対するパッチを臨時にリリースしている。

マイクロソフト 執行役 チーフセキュリティアドバイザー 東貴彦氏

 マイクロソフトは世界中のセキュリティ調査機関や専門家から同社製品の脆弱性について報告を受ける体制を整えているが、この脆弱性情報を悪用された場合、パッチが発行される前に攻撃を受ける「ゼロデイアタック」のリスクが存在することも事実だ。このようなリスクを最小限にとどめるためにも、同社では1996年より米国本社内にMicrosoft Security Response Center (MSRC)を設置、開発部門が脆弱性の報告者と協力して問題の特定および迅速な修正プログラムの提供が行えるようにしているが、同日付にてマイクロソフトは日本語による脆弱性報告窓口を開設した。日本語窓口の設置により、少しでも多くの情報を収集するとともに、国内での調査や対応を強化し、MSRCとの連携を進めるという。

 今後マイクロソフトでは、PCユーザー向けのセキュリティ施策として、個人ユーザーのセキュリティ認識を高めるためのProtect Your PCキャンペーンを今後も推進する。また、世界のインターネットサービスプロバイダと共同でセキュリティ対策プログラムGlobal Infrastructure Alliance for Internet Safety(GIAIS)を実施する。GIAISでは、セキュリティ対策の普及活動や安全なインターネット環境のための技術協力を行うという。

 さらに同社では、Windows Updateの自動更新機能の利用を呼びかけていくとしている。東氏によるとこの自動更新機能は、今年上半期中のリリースが予定されているWindows XP SP2ではデフォルト機能になるとのことだ。今後このWindows UpdateはOffice Updateと統合されてMicrosoft Updateとなり、Windows、Office、SQL Server、Exchange Serverの4製品のパッチが自動的にインストールできるようになるという。

 ビジネスユーザー向けの施策としては、3月に開催されるSecurity Summit 2004にてセキュリティの取り組みに関する最新情報を説明するとしている。また、Secure System Training Tour 2004という無償の1日トレーニングコースを6月まで全国47都道府県で2万人以上を対象に開催するという。さらに、Microsoft Certified Associate(MCA)を充実させ、2004年4月より同資格認定制度の中にセキュリティ科目を追加するとしている。

 今回の説明では製品開発過程での脆弱性対策については語られず、脆弱性の存在が前提となっている。この点について同社セキュリティ戦略グループ マネージャーの吉川顕太郎氏は、「セキュリティというものは、人・プロセス・テクノロジのすべてがうまく連携した上で達成されるもの。マイクロソフト内部ではテクノロジ部分での取り組みを進めているが、人・プロセスの部分で外部からの協力も必要だ」と説明する。

 社内での取り組みとしては、開発ツールを利用して脆弱性が発生しやすい部分をチェックするプロセスを取り入れたり、開発の際に機能を選ぶかセキュリティを選ぶかとなった場合には必ずセキュリティを選ぶようにするなど、開発プロセスを大幅に見直しているという。「その結果、脆弱性の数は大幅に激減した。脆弱性をゼロにするのは人類が30年間戦い続けている難しい問題かもしれないが、限りなくゼロに近づけるのはソフトウェア企業のリーダーとしての使命だと感じている」と吉川氏は述べた。

-PR-企画特集