ニュース
» 2004年09月24日 21時16分 UPDATE

「Trustworthy Computingは業界全体の課題」とMS担当者

米MicrosoftでTrustworthy Computing戦略を担当するスコット・チャーニー氏が来日した。

[高橋睦美,ITmedia]

 「治安や国家安全保障といった観点からも、基幹インフラの保護は重要。それには政府機関と民間の連携が不可欠だ」――9月24日、米Microsoftのスコット・チャーニー氏が来日し、官民協調してのセキュリティ対策の必要性を訴えた。

 かつて米司法省でコンピュータ犯罪の捜査に携わった経験を持ち、PricewaterhouseCoopersを経てMicrosoft入りしたチャーニー氏。今ではMicrosoftがたびたび「最優先事項」と強調している「Trustworthy Computing」戦略の最高責任者である。

 「われわれはますますコンピュータネットワークに依存するようになっている。これが少しでも停止すれば、通信、運輸、電力、金融といった各分野に甚大な影響が生じるだけでなく、時には治安や国家の安全までもが脅かされる恐れがある」(チャーニー氏)。そして、往々にして基幹インフラが私企業によって運用されている以上、官民の連携は不可欠だと述べた。

 今回の来日は、「内閣官房や警察庁、経済産業省、総務省といった日本の政府機関とインターネット上の脅威について情報交換を行うとともに、Microsoftの取り組みについて説明すること」(チャーニー氏)が目的だ。

 具体的には、スパイウェアやフィッシング詐欺をはじめとするセキュリティ上の問題に加え、同社が展開するソースコード開示プログラム「Government Security Program」(GSP)について説明したという。同社は先日、GSPを拡大し、政府機関向けに「Microsoft Office 2003」のソースコードを開示することを発表したばかりだ(9月21日の記事参照)が、日本政府はまだ同プログラムに参加していない。

チャーニー氏 「インターネットは垂直的インフラではなく、水平インフラ。したがってあらゆる省庁が関心を持ち、取り組まなければならない」と述べ、縦割行政への懸念も口にしたチャーニー氏

 なお、基幹インフラの保護という観点からは、米国、日本政府の双方で、インフラを運営する企業に優先的に脆弱性情報を提供するプログラムが検討されている。また、Microsoftに関しては、NDA(機密保持契約)を結んだ上で、月例パッチのリリース前に対象製品と深刻度を通知する「事前通知プログラム」の存在が明らかになったばかりだ(9月17日の記事参照)。

 チャーニー氏によると、同社では「あらゆる顧客を平等に保護するために情報を提供する」「犯罪者による悪用を防ぐため、パッチが準備できるまでは脆弱性情報は公開しない」ことを脆弱性情報公開の原則としているという。いわゆる「責任ある公開(Responsible Disclosure)」というアプローチだ。

 しかし、「月例パッチを公開するようになってから、顧客からは『毎月第二火曜日(日本時間では水曜日)にパッチが公開されるのは分かるが、どんなパッチが出て、誰に必要となるのかが分からない』という声が寄せられた。そこでNDAに基づき、限定的な情報を5日前に提供するこのプログラムを開始した」(チャーニー氏)。あくまで、企業や政府の顧客がパッチ検証や展開に要する人員、猶予を確保するためのものだと述べている。

 したがってこのプログラムは、一般ユーザーは対象とせず、自動更新機能を有効にしておけばよい、という説明だ。だが、情報提供タイミングの不平等が、かえってリスクを増大させるのではないかという指摘は依然として残っている。

開発ライフサイクル全体にセキュリティを

 チャーニー氏は会見の中で、設計段階からセキュリティを組み込むことの重要性にも触れた。

 「Trustworthy Computingの取り組みの一環として、コードの書き方を大幅に変え、開発のライフサイクルすべてにセキュリティを付け加えるようにした」(同氏)。設計段階で脅威モデルを採用し、コードレビューを行うのをはじめとして、テストや検査など開発のあらゆるステップでセキュリティに力を注いでいるという。次期WindowsのLonghornは、「このモデルに基づく初めての製品になる」(同氏)。

 チャーニー氏はさらに、セキュリティという観点からコード開発手法を変えていくという課題は、Windowsのようなプロプライエタリコードだけでなく、オープンソースソフトウェアにも共通するものだと述べている。

 元々は、Windowsとオープンソースの比較という質問に答えたものだが、「どちらが安全かという議論は、いつまでも続くだろう。むしろ重要なのは、設計や開発、テストの各段階においてセキュリティが十分に考慮されておらず、適切なセキュリティレビューを行える人材もいないということだ」と同氏。Microsoft自身、Trustworthy Computingを推し進める上で人員の確保に苦労したという。

 その意味で、「Trustworthy ComputingはMicrosoftだけでなく業界全体の課題」(チャーニー氏)。オープンソースコミュニティの側も、セキュアなコードを書くという同じ目的に向けて取り組みを進めていると期待したい、と述べた。

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

ピックアップコンテンツ

- PR -

注目のテーマ