マイクロソフトは25日、同社のセキュリティに関する取り組みについてプレス説明会を行った。同社がTrustworthy Computing戦略を打ち出してから約2年、ユーザーにセキュリティへの認識をさらに高めてもらいたいという考えの下で、同社の今後の施策などが語られた。
マイクロソフト執行役でチーフセキュリティアドバイザーの東貴彦氏はまず、「ソフトウェアの脆弱性というのは、欠陥とは違う」という点を強調した。同氏によると欠陥とは、設計とは違ったソフトウェアができあがってしまうことであり、脆弱性とはソフトウェアが製品として出荷されたのちに発見されるセキュリティ上の問題のこと。脆弱性は攻撃者が存在してはじめて被害が出るもので、同社では脆弱性を「こわれやすさ」ではなく「攻撃しやすさ」の度合いによって、「緊急」「重要」「警告」「注意」の4段階にランク付けしている。
マイクロソフトでは2003年10月より、それまで不定期に発表していたセキュリティパッチを定期的に月1回の発表とし、緊急度の高いものに対して随時発表するとしていたが、今年2月に入ってInternet ExplorerのURL偽造問題に対するパッチを臨時にリリースしている。
 | |
| マイクロソフト 執行役 チーフセキュリティアドバイザー 東貴彦氏 | |
|---|---|
マイクロソフトは世界中のセキュリティ調査機関や専門家から同社製品の脆弱性について報告を受ける体制を整えているが、この脆弱性情報を悪用された場合、パッチが発行される前に攻撃を受ける「ゼロデイアタック」のリスクが存在することも事実だ。このようなリスクを最小限にとどめるためにも、同社では1996年より米国本社内にMicrosoft Security Response Center (MSRC)を設置、開発部門が脆弱性の報告者と協力して問題の特定および迅速な修正プログラムの提供が行えるようにしているが、同日付にてマイクロソフトは日本語による脆弱性報告窓口を開設した。日本語窓口の設置により、少しでも多くの情報を収集するとともに、国内での調査や対応を強化し、MSRCとの連携を進めるという。
今後マイクロソフトでは、PCユーザー向けのセキュリティ施策として、個人ユーザーのセキュリティ認識を高めるためのProtect Your PCキャンペーンを今後も推進する。また、世界のインターネットサービスプロバイダと共同でセキュリティ対策プログラムGlobal Infrastructure Alliance for Internet Safety(GIAIS)を実施する。GIAISでは、セキュリティ対策の普及活動や安全なインターネット環境のための技術協力を行うという。
さらに同社では、Windows Updateの自動更新機能の利用を呼びかけていくとしている。東氏によるとこの自動更新機能は、今年上半期中のリリースが予定されているWindows XP SP2ではデフォルト機能になるとのことだ。今後このWindows UpdateはOffice Updateと統合されてMicrosoft Updateとなり、Windows、Office、SQL Server、Exchange Serverの4製品のパッチが自動的にインストールできるようになるという。
ビジネスユーザー向けの施策としては、3月に開催されるSecurity Summit 2004にてセキュリティの取り組みに関する最新情報を説明するとしている。また、Secure System Training Tour 2004という無償の1日トレーニングコースを6月まで全国47都道府県で2万人以上を対象に開催するという。さらに、Microsoft Certified Associate(MCA)を充実させ、2004年4月より同資格認定制度の中にセキュリティ科目を追加するとしている。
今回の説明では製品開発過程での脆弱性対策については語られず、脆弱性の存在が前提となっている。この点について同社セキュリティ戦略グループ マネージャーの吉川顕太郎氏は、「セキュリティというものは、人・プロセス・テクノロジのすべてがうまく連携した上で達成されるもの。マイクロソフト内部ではテクノロジ部分での取り組みを進めているが、人・プロセスの部分で外部からの協力も必要だ」と説明する。
社内での取り組みとしては、開発ツールを利用して脆弱性が発生しやすい部分をチェックするプロセスを取り入れたり、開発の際に機能を選ぶかセキュリティを選ぶかとなった場合には必ずセキュリティを選ぶようにするなど、開発プロセスを大幅に見直しているという。「その結果、脆弱性の数は大幅に激減した。脆弱性をゼロにするのは人類が30年間戦い続けている難しい問題かもしれないが、限りなくゼロに近づけるのはソフトウェア企業のリーダーとしての使命だと感じている」と吉川氏は述べた。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
CES2024で示した未来
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ビジネスの推進には必須!
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
近い将来「キャッシュレスがベース」に--インフキュリオン社長らが語る「現金大国」に押し寄せる変化
「S.RIDE」が目指す「タクシーが捕まる世界」--タクシー配車のエスライド、ビジネス向け好調
物流の現場でデータドリブンな文化を創る--「2024年問題」に向け、大和物流が挑む効率化とは
「ビットコイン」に資産性はあるのか--積立サービスを始めたメルカリ、担当CEOに聞いた
培養肉の課題は多大なコスト--うなぎ開発のForsea Foodsに聞く商品化までの道のり
過去の歴史から学ぶ持続可能な事業とは--陽と人と日本郵政グループ、農業と物流の課題解決へ
通信品質対策にHAPS、銀行にdポイント--6月就任のNTTドコモ新社長、前田氏に聞く
「代理店でもコンサルでもない」I&COが企業の課題を解決する
「当たり前の作業を見直す」ことでパレット管理を効率化--TOTOとユーピーアールが物流2024年問題に挑む
ハウスコム田村社長に聞く--「ひと昔前よりはいい」ではだめ、風通しの良い職場が顧客満足度を高める
「Twitch」ダン・クランシーCEOに聞く--演劇専攻やGoogle在籍で得たもの、VTuberの存在感や日本市場の展望
「ストリートビュー」が捉えたクレイジーすぎる光景38連発 
「iPhone 16 Plus」でPlusモデルは終了するのか--うわさについて考察 
OpenAIの検索エンジン「SearchGPT」、グーグル検索と違う5つのこと