エンタープライズ:トピックス 2002年5月31日更新

Follow Up:マイクロソフトがセキュリティに対する姿勢を変えた理由

「セキュリティは旅のようなもの。重要なのはプロセスであって,イベントではない。“ここまでやったから大丈夫”ということはなく,常に対応し続けていかなくてはならない」

 5月30日に行われたRSA Conference 2002 Japanのセッションにおける,米マイクロソフトの最高セキュリティ責任者,スコット・チャーニー氏の発言だ。同氏はまた,このようにも述べている。

「セキュリティは,テクノロジとプロセス,人という3つの要素がそろってはじめて機能する。ただ,今はテクノロジがあまりに早く普及したため,教育が追いつかず,十分な知識を持った人が不足している。これは大きな問題だ」

 チャーニー氏はこのように,「Trustworthy Computing」(信頼できるコンピューティング)として知られる同社のセキュリティに対する取り組みのみならず,その背景にあるセキュリティの変化全般について語った。

ブロードバンド環境がリスクを生み出す

 マイクロソフトがTrustworthy Computingを掲げた背景には,ブロードバンド接続やユビキタスコンピューティングの普及があるという。

「ブロードバンド接続が普及し,多くのユーザーが常時接続環境を享受するようになると,家庭のコンピュータがクラックされ,重要なデータが盗まれる可能性も高まる。それだけではない。SOHOやテレコミュータの場合,侵入されたPCを企業や政府などのネットワークに接続するわけで,そこに危険性が生まれる」(チャーニー氏)。つまり「ブロードバンドが新しいリスクを生み出した」(同氏)ということだ。

 同氏はさらにこのように述べた。「インターネットの元となったARPANETの場合,参加者は互いに信用でき,セキュリティは必要なかった。しかし,インターネットではすべての人がつながる。セキュリティは欠かすことができない」

 チャーニー氏は同時に,早い段階でセキュリティを組み込んでおくことも重要だと指摘した。「元々セキュリティを想定していないものに,後からセキュリティを組み込もうとしてもコストがかさみ,ひどいことになる。先手を打っておくほうが痛みは少ない」

Trustworthy Computingを実現する3つの要素

 マイクロソフトが提唱するTrustworthy Computingは,こうした状況と認識を反映したものだという。

 これまでも紹介されてきたように,Trustworthy Computingには幾つかの要素がある。

 1つは,コードレビュー,バッファオーバーランに対するテストなどを通じて,製品に最初からセキュリティを組み込む「Secure by Design」。2つめは,IIS 6.0に代表されるように,不要な機能はオフにして出荷し,デフォルト設定を安全サイドに倒す「Secure by Default」。最後は,パッチ適用といった運用・管理作業を適切に行うための「Secure by Deployment」だ。これは,従来は人手に頼っていたパッチ適用作業を,自動的に行うWindows Updateに反映されている。

 チャーニー氏は特に,最後のSecure by Deploymentに関して,「いくら綿密に検査を行っても,脆弱性がゼロになることはあり得ない。したがって運用にセキュリティを組み込み,きちんと管理していく必要がある。これはマイクロソフトのみならず,業界全体の課題だ」と語った。

 ただ,運用をサポートするはずのWindows Updateにも問題はある。企業内で運用している場合がそれだ。例えば,プッシュ形式での配信が難しかったり,あるいはどのマシンにパッチが適用されており,どのマシンは未対応なのかを把握し,管理することが困難だったりするという。「もっとスマートは方法を考えていかなくてはならない」(チャーニー氏)

方針変換の理由は?

 セッションの後,同氏に直接尋ねてみた。「セキュリティよりも使いやすさを優先してきたマイクロソフトが,なぜ方針を変更したのか?」

 チャーニー氏の答えはこうだ。「理由は2つある。1つは市場の変化。もう1つは脅威の変化だ。特に,昨年9月の連続テロ事件以降,セキュリティに対する理解が変化した。またCode RedやNimdaの蔓延という事件もあった。そこで,セキュリティ保護に責任を持つべきだと考え,われわれはビジネスを変えることにした」

 同氏はまた,脆弱性の発見からパッチ公開までの期間――しばしば長すぎると指摘されることもあるが――について,こう述べている。

「パッチ公開の前には,さまざまな環境できちんと動作するように,テストは不可欠なステップであり,そのため時間を要してしまう。中には脆弱性を見つけると,すぐそれを公開してしまうケースもあるが,もしセキュリティ研究者などが脆弱性を発見したら,ぜひベンダーに知らせて欲しい。そうしたらわれわれは即座に対応し,テストを行い,パッチをリリースする」

 さらに同氏は,「脆弱性発見の報告から,パッチのリリースまでの期間,ユーザーにとってリスクがないかというと,答えは“ある”だ」と認めながらも,できる限りの努力をするとした。「だからこそわれわれは,ユーザーに速やかにパッチの存在を知らせ,適用してもらうため,Webやメールを通じて告知したり,Windows Updateのようにプッシュ形式でパッチを配信するといった取り組みを行っている」

関連記事

▼セキュリティを最優先,「信頼できるコンピューティング」を強調するMSマンディCTO

▼セキュリティは「継続こそ力なり」,新たなセキュリティツールも準備するMS

関連リンク

▼RSA Conference 2002 Japan

▼マイクロソフト

[高橋睦美 ,ITmedia]