Bill Gates氏が語る最新セキュリティビジョンの実現は遠い？（1/3 ページ）

Bill Gates氏が2月に行った基調講演では、セキュリティの将来ビジョンと信頼できるコンピューティング環境が語られたが、同氏のビジョンの実現には時間に加えて業界の協力が必要だ。

[Michael Cherry，Directions on Microsoft]

　Microsoftのチーフソフトウェアアーキテクト、Bill Gates氏が2006年2月にRSA Conference 2006で行った基調講演は、製品発表が豊富に盛り込まれた同氏のいつもの基調講演とは趣が異なっていた。同氏はこの講演で、4つの目標を中心としたセキュリティのビジョンと戦略を説明した。4つの目標は、人、デバイス、コードの適切なアイデンティティ管理、最初からセキュリティに配慮した製品作り、セキュリティ機能の使い勝手の向上、そして機密性、完全性、可用性、責任が保証されるコンピューティングプラットフォームの実現だ。Gates氏はまた、同氏のビジョンの実現には、業界の協力と数年の時間が必要だと述べた。

セキュリティビジョンの4つの柱

　4年前に発表されたMicrosoftのTrustworthy Computing（信頼できるコンピューティング）の取り組みでは、Microsoftの製品とサービスのセキュリティを強化することに重点が置かれ、そのための方策として、製品の社内セキュリティレビュー、バグや脆弱性の修正パッチをタイムリーに配布できるインフラの構築、セキュリティユーティリティソフト市場への参入などが進められた。自社の製品とサービスの安全性に自信を深めたMicrosoftは、これまでの数々の攻撃がコンピューティングコミュニティにもたらした不安、つまり人々がコンピュータやインターネットを注意して使うようになった原因である不安の一部を払拭しようとしている。Gates氏はRSA Conferenceの基調講演でこう述べている。「われわれのセキュリティビジョンは、より信頼できる世界を作ることだ。それは、人々や組織が多様なデバイスを使って、より安全かつ確実に、自分にとって重要な情報、サービス、人とつながることができる世界だ」。Gates氏によると、このビジョンを実現するには、次のことが必要になる。

• ユーザーと企業が、通信相手が本人であること、そして通信の安全と秘密が保たれていることを確信できるように、アイデンティティ（ID）と信頼を保証する
• 製品の設計・開発プロセスのあらゆるステップでセキュリティと信頼性の確保を図り、セキュリティ対策が後手にならないようにする
• セキュリティ対策を分かりやすくサポートし、セキュリティとプライバシーを確保する方法に対するユーザーと組織の理解を促進する
• プラットフォーム（OSとデバイス）は、情報とリソースがどこに保存または移動されても、それらの機密性と完全性を維持しなければならない。

アイデンティティと信頼

　ルートキットやワーム、スパイウェアなどの悪意あるソフト（ユーザーのコンピュータを乗っ取ったり、ユーザーのIDや情報を盗んだりしようとする）や、ユーザーのメールボックスに押し寄せるスパム（迷惑メール）の洪水は、コンピュータシステムとインターネットに対するユーザーの信頼を低下させている。悪意あるソフトの脅威の増大をさておいても、現在、ユーザーとサイト間での取引のほとんどは、お互いについての限られた情報に基づいて行われている。

　コンピュータシステムとインターネットに対するユーザーの信頼を高めるためには、次の3つの分野での改善が必要になる。

ID（アイデンティティ）
　多くの組織では小切手の換金などの取引の際に、確実な本人確認のために運転免許証の提示を受けるが、そうした確実な方法により、ユーザーと組織がほかのユーザー、組織、デバイス、ソフトのIDを確認できるようにしなければならない。

否認防止
　ユーザーと組織がお互いに相手の責任を問えるようにしなければならない。例えば、出来の悪いソフトや悪意あるソフトが配布された場合にはそのコードの作成・配布元が明確に分かるような仕組みが必要だ。

身元秘匿
　通常、ほとんどの取引では全当事者の確実な本人確認が必要だが、ユーザーが病状について調べたい場合などには、プライバシーの観点から見て、匿名を保つ正当な理由がある。