マイクロソフトがBlack Hatで講演--好評だったVista開発秘話

文:Joris Evers(CNET News.com) 翻訳校正:編集部2006年08月04日 14時21分
  • このエントリーをはてなブックマークに追加

 Microsoftによる「Windows Vista」のプレゼンテーションは、典型的なBlack Hatの話題とはやや異なるが、参加者らは同社の裏話を歓迎していた。

 毎年恒例のセキュリティ会議「Black Hat Briefings」は従来、バグや、コンピュータへの攻撃に重点を置いている。しかし、2006年は同イベントの10年の歴史で初めて、あるベンダーの製品に関するセキュリティの不備ではなく、完備に重点を置くセッションが複数開かれている。メインスポンサーのMicrosoftが、Vistaのプレゼンテーションを行っているのだ。

 一部には、イベントのメインスポンサーが行う壮大な情報コマーシャルに、Black Hat参加者が失望するのでは、との懸念もあった。しかし、米国時間8月3日午前に行われた講演は、多くの典型的なBlack Hatセッションより聴衆を集め、Caesars Palaceの巨大な会場はほぼ満員になった。

 かなり以前からBlack Hatに参加しているフェニックス在住のJosh Hoover氏は、「宣伝目的の話のようには感じなかった。Microsoft社内のコードのレビュー方法など、非常に技術的な内容だった」と述べた。ただ、大手金融機関のセキュリティ部門に所属する同氏は、「もちろん、現時点では話だけに過ぎず、実際にテストしてみないと分からない」とも付け加えた。

 Microsoftは、Black Hatで初期バージョンのVistaを配布し、参加者からのフィードバックを募集している。Microsoftのセキュリティエンジニアリング戦略シニアディレクターSteven Lipner氏は、「ぜひ試してもらい、万が一セキュリティの問題があったら教えて欲しい」とインタビューのなかで語っている。

 Black Hatで配布されているVistaは、同カンファレンス専用に用意されたバージョンではないが、最新の安定したバージョンだと、Lipner氏は加えた。

Vista開発の裏側

 MicrosoftはBlack Hatで、Vistaの基本や各種セキュリティエンジニアリング関連の内容など、セキュリティを幅広くカバーしたプレゼンテーションのほか、ネットワーキング技術、Wi-Fi、ヒープ管理の強化、および「Internet Explorer(IE)7」といった具体的なセッションも用意している。Vistaは「Windows XP」の後継で、1月に一般発売が予定されている。

 3日午前のセッションでは、MicrosoftのグループマネジャーJohn Lambert氏が、セキュリティに重点を置く同社のエンジニアリングプロセスについて講演した。Vistaは、出荷前に脆弱性を回避し、コードを念入りに検査すべくMicrosoftが用意したSecurity Development Lifecycleプロセスが適用された初めてのクライアントOSとなる。

 Lambert氏によると、同社はここ数バージョンのWindowsで見つかった脆弱性に対するセキュリティ警告をすべて調査したという。「われわれが出したセキュリティパッチを見て、設計時にバグを見つけられなかった理由をすべて調べた」と同氏は語っている。

 Vistaを、WindowsトップのJim Allchin氏が言うところの「これまでで最も安全なバージョンのWindows」にするため、Microsoftではほかにも、新しいバグ探しやスキャニングツールの利用などに取り組んでいる。また、Microsoft社内外から人を集める人海戦術も展開していると、Lambert氏は語っている。同氏は、Microsoftがハッカーを本社に招いてセキュリティに関する講演をしてもらう「Blue Hat」イベントにも言及した。

 Lambert氏は、MicrosoftがVistaリリース前に行うセキュリティテストについて述べながら、「これは史上最大の市場参入テストだ」と語った。

 聴衆はプレゼンテーションにかなりの関心を持ったようで、IE 7のBeta 2リリース直後に深刻な脆弱性が明らかになったことなどにLambert氏が言及すると、時には笑い声が聞こえることもあった。だが、Microsoftは果たしてこのときどのような反応を示しただろうか?キーボードで頭を叩く男性のアニメーションをLambert氏は表示して見せた。

 しかし、当初きまりの悪い思いをしたMicrosoftは、実際はこのIE 7の脆弱性を2カ月前に見つけていたことに気付いた。ベータでは単に対処していなかっただけだったと、Lambert氏は語った。このようなバグは完成版登場までには修正されるという。

 Hoover氏を含む複数の参加者らは、講演は魅力的な内容だったとしている。「ハッキング方法の話だけではつまらない」とHoover氏は語っている。

この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。 海外CNET Networksの記事へ

  • このエントリーをはてなブックマークに追加