MS、Vista APIへの反応に好感触

PatchGuardとVista OSの64ビット版については、これまでにもMSとパートナーで多くのやり取りが行われてきた。19日に発表されたVista APIに対し、多くのパートナーは理解を示している。

[Matt Hines，eWEEK]

　Microsoftの新たなオペレーティングシステム「Vista」の開発インタフェースに対する反応は、現時点においてはおおむね肯定的であるようだ。

　開発者が最新OSのカーネルにアクセスできるよう同社が進んで策を施すことを疑う声もあったが、そうした懸念もこれで払しょくされるかもしれない。

　Microsoftは12月19日、セキュリティソフトウェア開発者に技術仕様書やコード追加時の技術的基準を提供し、Vista APIの初期ドラフトを公開した。もっとも当初は、これらは2006年10月半ばにパートナーへ手渡されるはずだったものだ。

　かねてからセキュリティアプリケーションメーカーは、最近リリースされたVista OSの64ビット版に含まれるカーネル保護技術「PatchGuard」が、一部のセキュリティ製品とVistaの適切な互換性を阻害する恐れがあるとして、不満をあらわにしてきた。Microsoftはこれに応え、広範な開発ツールの作製を決定したのである。

　PatchGuardがもたらす悪影響を声高に非難していた企業の中には、ウイルス対策市場をリードするMcAfeeやSymantecも入っている。両社は、PatchGuardはアプリケーションのVistaカーネルへのアクセス機能をすべて遮断してしまうことから、同新OSと連係する一部の先進的な行動ベースセキュリティ製品の機能も損なわれると主張していた。

　約1カ月におよぶ話し合いの結果、Microsoftは主にメディアを通して発表した声明により、現行のAPIを見直し、PatchGuardとの互換性を改善する新しいインタフェースを提供することを明言したのだ。

　Symantecの広報担当者は、APIの提供を受けて作業に着手したとだけ述べたが、McAfeeの関係者は新たなインタフェースについて、これまでのところ満足いくものだと相応の評価をしている。

　カリフォルニア州サンタクララに拠点を置くMcAfeeのチーフサイエンティスト、ジョージ・ヘロン氏は、MicrosoftはAPIを準備する上で、McAfeeの意向を十分に汲んだようだと語った。McAfeeは2006年10月、PatchGuardインタフェースの不備をめぐり異議を唱えるようになったが、ヘロン氏は同社にそうした行動を取らせた中心人物の1人だったという。

　「Microsoftは、われわれが示した提案を部分的に取り入れてくれた。今のところ、同社の試みは成功しているように思える。Microsoftが採った方針に関して、McAfeeは全体的に満足している」（ヘロン氏）

　ワシントン州レドモンドのMicrosoftも、パートナーと共有することになったコードは最終的なインタフェースの初期ドラフトであることに言及する一方で、これまでに得た新たなAPIに対するフィードバックは、ほとんどが肯定的なものだったと述べた。

　Microsoftでセキュリティ技術部門上級製品マネージャーを務めるスティーブン・トゥールーズ氏によれば、今回のようにパートナーと手を携えて前進できたのは、rootkitなどの新種の攻撃から新しいWindows OSのカーネルを保護するため、堅牢な技術手法が必要であることに同意を得られたからだという。セキュリティベンダーがPatchGuardの長所を認識するようになってからは、APIに関する共通の足場を簡単に定められたと、同氏は説明した。

　「OSの安全性を保ち、ユーザーに緻密な保護手段を提供してセキュリティ上の脅威を回避することの重要性は、誰もが理解している。われわれはすでに大きな一歩を踏み出したわけだが、取り組みは現在も続けられており、コンピューティングへの信頼性を向上させ、よりセキュアなカーネル環境を低供するために、Microsoftは今後もパートナーと力を合わせていくつもりだ」（トゥールーズ氏）

　セキュリティソフトウェア企業がPatchGuardに関して抱いている懸念のすべてが払拭されたと断定することはできないが、協力して問題解決に当たったこの数カ月間で、両陣営とも多くのことを学んだと、トゥールーズ氏は話す。ただし、一定の成果は上がったものの、ベンダー製品とVistaのセキュリティ機能の互換性改善は終わりがないと言っても過言ではない仕事であり、これからも取り組みを続行するという。

　トゥールーズ氏は作業の継続性を示すものとして、MicrosoftがAPIとともにパートナーに渡した基準審査書類の存在を挙げた。こうした審査によってソフトウェアコードに対するフィードバックを蓄積していくことができ、共同作業において次に進むべきステップを決めるのにも役立つと、トゥールーズ氏は説明した。

　Microsoftは、APIを作製するためにPatchGuardのパラメータを削らざるを得なかったという事実はなく、新たにリリースしたコードはいわゆるカーネルの「フック」ではないと主張している。セキュリティプロバイダーは、自社製品とVistaの互換性を維持するためにはフックを用いらざるを得ないとしていた。

　「このたびリリースしたWindows Vista APIの最初のドラフトは、カーネルパッチ保護機能を無効化したり弱体化させたりすることなく、セキュリティベンダーが64ビットシステム上で動作しているWindowsカーネルの特定機能を拡張できるようにするものだ。われわれは、セキュリティベンダーがWindowsカーネルの安全性、信頼性および安定性を損ねずに、高機能なセキュリティソリューションを開発していくのを支援するため、的確に設計されたAPIの提供に努めている」（トゥールーズ氏）

　どのような程度であろうとVistaにおけるカーネルフックを認めれば、同じ手法を悪用してシステムの侵害をたくらむrootkitなどの不正なプログラムにも門戸を開放することになり、PatchGuardの目的もまた失われてしまうと、Microsoftは述べている。

　同社は追加的なAPIを用意することに同意する以前は、みずからの製品に変更を施し、外部のセキュリティ脅威からエンドユーザーを確実に守る強固なツールを開発する意志がセキュリティベンダーに欠けている点が、PatchGuardの抱える問題であると言い放っていた。

　しかしMicrosoftはそれ以降、ベンダーに同社の要望を厳密に聞き入れるよう強いるのを止め、Vistaに対する攻撃を排除していくには両陣営における技術革新が必要であることを認識したと、トゥールーズ氏は話した。

　「64ビット版プラットフォームは、過去の古い慣行から脱却し、顧客により安全なコンピューティングエクスペリエンスを提供するためのきっかけなのかもしれないと考えている。もっともこれを実現するには、双方がイノベーションを実現しなければならない。こうして生まれたイノベーションは、時とともにさまざまな形を取るだろう。われわれが力を合わせて作り上げている新しい機能を存分に活用した、未来のWindows Vista向け製品の登場を心待ちにしている」（トゥールーズ氏）

原文へのリンク