「プロアクティブな対策を」―マイクロソフトがセキュリティへの取り組みを説明(1)
| 【国内記事】 | 2001.10.12 |
マイクロソフトは10月12日,「ストラテジックテクノロジープロテクションプログラム」(STPP)に関するプレス向け説明会を開催し,同社のセキュリティに対する取り組みを改めて示した。
同社がSTPPを発表したのは,ちょうど1週間前に当たる10月4日のことだ。Code RedやNimdaといった感染力の強いウイルスが登場し,多くのサーバやシステムに影響を与えたことを受けてまとめられたもので,マイクロソフトはこれを全世界的なセキュリティ対策として展開していく。これは,同社がこれから「.NET」やWebサービスを本格的に展開していく上でも不可欠の措置といえるだろう。
説明会の席上で,マイクロソフト取締役 経営戦略担当の東貴彦氏は,「これまでのような対症療法的な対策ではなく,情報提供を超えて,プロアクティブにユーザーに(セキュリティの面で)貢献していく」と述べた。
セキュリティ対応窓口を常設化
既に報じられている通り,STPPは,セキュリティに関するサポート体制や情報提供の強化,ツールの提供を中心とする「Get Secure」と,各種パッチの提供に加え,プログラム開発工程の改善も含んだ「Stay Secure」という,2つのフェーズから構成されている。
この分類は別として,STPPに関する説明の内容をまとめると,一連の施策は大まかに以下の4つに分けられるだろう。
1. セキュリティ情報提供体制の整備,常設化
2. 稼働中のシステムのセキュリティを高めるために必要なパッチ/パッケージ,およびツールの提供
3. 速やかな情報提供・告知に向けた業界横断的なフレームワーク作り
4. デフォルトで安全な状態にシフトさせるような,製品開発プロセスの改善
同社はこれまでも,電子メールやWebサイトを通じてセキュリティ関連情報を提供してきた。また,Code Red/Nimdaが広く感染した時期には専用の緊急対応窓口を設け,電話での応対も行っていた。今後は,メールやWebを通じた情報提供を強化するとともに,これらのセキュリティサポート体制を常設化。ユーザーからの問い合わせに常時答えられる体制を整える。
また年内には,セキュリティサービスの一環として,ユーザー企業のシステムのセキュリティ強度を監査する「セキュリティアセスメントプログラム」を開始する予定だ。
「Microsoft Security Tool Kit」日本語版は10月22日に公開
2)のパッチやツールの提供だが,中でも重要なのは「Microsoft Security Tool Kit」日本語版の提供だろう。これは10月22日より,同社Webサイト上で公開される予定だ。
このツールキットには,各プラットフォーム/IIS(Internet Information Server/Services),IE(Internet Explorer)用のサービスパック(SP)やセキュリティロールアップパッケージ(SRP)のほか,これまでばらばらに公開されてきたセキュリティツールが含まれる。
具体的には,パッチの適用状況を確認する「HFNetChk」,IIS 4.0/5.0の設定変更などによってセキュリティを高める「IIS Lockdown Tool」,IISに送信されるHTTPリクエストの内容をチェックし,不正なリクエストをブロックする「URL Scan」などの日本語版が同梱される。一連のツールの英語版は既に公開済みだが,日本語版に付いてはこれまで正式な対応は確認されていなかった。
また,Windowsプラットフォームをセキュアに構成するための手だてをまとめたドキュメントや,各種セキュリティ情報のポインタなども同時に提供する方針だ。なお,ダウンロードが困難な場合に備え,別途CD-ROMでの配布も行われる。CD-ROMの配布は11月初旬より開始される予定だ。
[高橋睦美 ,ITmedia]
