セキュリティは「継続こそ力なり」,新たなセキュリティツールも準備するMS
【国内記事】 | 2002.3.19 |
3月19日,20日にかけて,IDGジャパンの主催で「Security Tech Update Tokyo 2002」が,東京・国際フォーラムにて開催されている。
初日に開催されたワークショップの中で,マイクロソフトは,同社が進める「Trustworthy Computing」(信頼できるコンピューティング)について改めて説明。またその一環として,Windowsのセキュリティを強化するためのツール群を強化し,新たに2つのツールを準備していることを明らかにした。
“ご迷惑をおかけした”
同社は昨年10月に,セキュリティを強化するためのプログラム「Strategic Technology Protection Program」(STPP)を発表している。このプログラムで同社は,他社とも連携しながら,「Get Secure」「Stay Secure」という2つのフェーズに分けて,製品のセキュリティを高めていく方針を明らかにした。
さらに今年初めには,ビル・ゲイツ氏が「Trustworthy Computing」というコンセプトの下,セキュリティを最重点目標とするよう通達している。これを受けて同社は2月,一切のコーディング作業を停止し,開発プロセスやツール,コードそのものに対するセキュリティレビューを行っている。
ワークショップでは,マイクロソフトの製品マーケティング本部,Windowsサーバー製品部シニアプロダクトマネージャの古川勝也氏が,同社の一連のセキュリティプログラムを紹介。この中で同氏は,「昨年はCode RedやNimdaが感染を広め,皆さんに大きなご迷惑をおかけした。マイクロソフトとしては,今後はこういったことのないようにセキュリティに取り組んでいく」と率直に述べた。
古川氏によると同社は,幅広い要素を含む“信頼できるコンピューティング”の中でも,まず個人情報保護と,不正アクセスを拒むセキュリティに力を入れていくという。それも,短期的な対策のみならず,中期・長期的な計画を立てて実現していくとした。「セキュリティ対策は長い目で見ることが必要だ」(同氏)
同氏はまた,セキュリティはマイクロソフト1社の努力だけで実現できるものではないとも指摘。セキュリティは業界全体の課題だとしたうえで,パートナーと連携して取り組んでいく姿勢も改めて強調した。
なお,マイクロソフト日本法人では以前より,独自にパートナーとの連携を進めるほか,米国本社に向けて,セキュリティを重視するようにとの要望をプッシュしていたという。その一部はSTPPにも反映されている。
「安心してインターネットとWebサービスの世界に入っていけるよう,“信頼できるコンピューティング”を提唱していく」(古川氏)
セキュリティ意識の改革を
続いて登場した奥天陽司氏(マイクロソフトアジアリミテッド,PSS Security Response Team)は,実際のサポートや対応業務から得た感触を踏まえて,より具体的な対策を紹介した。
「大規模〜中規模企業の顧客の場合,企業全体にセキュリティポリシーが行き渡らない,対策のための予算が取れないといった問題がある。また中小規模企業では,予算上の問題に加え,ITマネージャが存在しないため即時の対応が困難なほか,“セキュリティ情報は難しくてよく分からない”という声がある。さらに個人のユーザーとなると,良い悪いは別として,セキュリティを自分自身の問題として捉えていないケースが多い」(奥天氏)
同氏はこうした現状を踏まえ,これらの問題に業界としてきちんと対応していかなければならないと述べた。
奥天氏が挙げたマイクロソフトの具体的な解決策は多岐に渡ったが,中でも重要なポイントは「製品の改善」「速やかかつ広範な情報の提供」の2つに集約できるだろう。情報の提供に関しては,同社のセキュリティ情報ページを通じ,特に初心者向けの分かりやすい情報も提供していく。また,パッチや新たなセキュリティ情報については,日米で時差のない提供に務めるという。
同氏はさらに,「口コミでもいい。周りのコンピュータユーザーにぜひ,セキュリティの重要性を伝えてほしい」と述べ,ユーザー一人ひとりのセキュリティ意識の改革を呼びかけた。
管理者向けに新たに2つのツールを準備
一方製品の改善としては,「Secure Windows Initiative」に基づいて進められている開発・設計手法の改善,テスト方法の検討が挙げられる。これにはまた,製品の出荷時設定を「安全サイド」に変更するデフォルトでのセキュリティ対策も含まれ,既にOfficeやWindows XPで実現されている。これは既報のとおり,今後リリースされる.NET Serverにも適用され,Internet Information Services/Server(IIS)6や不要なサービスはデフォルト設定では無効となる計画だ。
また同社は,Secureパッチの適用状況をチェックする「HFNetChk」や,IISの機能を制限する「IIS Lockdown Tool」,HTTPリクエスト中の文字列をフィルタリングする「URLScan Security Tool」といったセキュリティ関連ツールを提供しているが,さらに2つのツールを追加,提供する計画だという。
1つはGUI版のHFNetChkである「Security Analyzer」。これは,HFNetChkの開発元である米シャブリック・テクノロジーズの「HFNetChkPro」をベースとしたツールで,コマンドラインベースで実行する必要のあった作業をGUI上で行えるようになる。なお,日本語環境とのずれが指摘されている,チェック時のベースラインとなるXMLファイルの更新については,より良い方法を模索中とのことだ。
もう1つは,現在同社Webサイトで提供されている「Windows Update」を,企業内部で実現できる「企業向けWindows Update」だ。これにより,ユーザーそれぞれが同社Webサイトにアクセスすることなく,企業ネットワーク内で必要なパッチを入手できるようになる。合わせて提供されるクライアント向けモジュールを利用すれば,管理者が強制的にパッチを配布することも可能になるという。
奥天氏によれば,いずれのツールも日本語化と検証を進めている最中で,近々とまではいかないまでも,近い将来提供する計画だ。ただしWindows 2000 Service Pack 3の提供時期は「まだ何ともいえない」(同氏)という。
継続の重要性
奥天氏は最後に,これまでもたびたび語られてきたセキュリティ対策の基本に触れた。つまり,「決定権のある人にセキュリティを理解してもらうことが一番の早道。逆に言うと,トップの理解なしには,なかなか効果は上がらない」。ビル・ゲイツ氏の通達が同社全体にもたらした変化を見れば,その効果は一目瞭然だろう。
「状況は日々刻々と変わる。セキュリティ対策に終わりということはありえない。セキュリティ対策は継続してはじめて有効なものになる」(奥天氏),「インターネットをインフラとして安心して利用するためには,セキュリティを確保し,維持することが重要。“継続は力なり”です」(古川氏)とも述べている。
両氏の言うとおり,セキュリティ対策に即効薬はありえない。まだ始まったばかりの同社のセキュリティに対する取り組みがどういった成果をもたらすか,ユーザーとしては引き続き見守っていく必要があるだろう。
関連記事
セキュリティを最優先,「信頼できるコンピューティング」を強調するMSマンディCTO
関連リンク
[ ITmedia]