ニュース
» 2008年12月09日 09時10分 UPDATE

安心や信頼ベースの環境に:技術では解決できないセキュリティ課題をどう乗り切るか

システムを取り巻く脅威から利用者を守るには技術的アプローチでは限界がある。業界の枠組みを越え、「安心利用できるIT環境とは何かを考えるべきタイミング」とマイクロソフトの高橋氏は語る。

[ITmedia]

 マルウェアやスパム、不正アクセス、フィッシング詐欺……PCやインターネットの利用者を狙う脅威には終わりが見えない。いかに対策技術を導入しようとも、完全に防ぐのは難しい。マイクロソフトのチーフセキュリティアドバイザー、高橋正和氏は「PCに対する利用者の信頼をどのように高めていけばいいか、技術の枠を越えて多くの人々と考えたい」と話す。

msisac.JPG 高橋氏(左)と有村氏

 マイクロソフトでは、2002年から「Trustworthy Comuputing(信頼できるコンピューティング)」というセキュリティ活動に取り組む。「Security」「Privacy」「Reliability」「Business Practices」の4つをテーマに、統合的なセキュリティ対策技術の実現や、開発段階から脆弱性を生まないための手法やノウハウの提供、政府機関との連携などを推進中だ。

 高橋氏は、「OSベンダーとしてセキュリティ課題に対する技術的なアプローチを継続している。脆弱性の減少やマルウェア対策では一定の効果が認められてきた」という。同社によれば、出荷後1年間に報告されたWindows Vistaの脆弱性件数は、Windows XPに比べて半減した。これは、ソフトウェアの開発から設定、配布の各段階でセキュリティを考慮する「SDL(Secure Development Lifecycle)」に基づくものだという。

 また、外部機関と連携した活動の1つにボット対策プロジェクト「サイバークリーンセンター(CCC)」とのマルウェア対策がある。CCCから提供されるマルウェア検体や解析情報を「悪意のあるソフトウェアの削除ツール」や「Windows Defender」などに活用し、逆にCCCなどセキュリティ対策に取り組む機関に情報を提供する。

 同社が11月4日に公開した「セキュリティ インテリジェンス レポート」によると、悪意のあるソフトウェアの削除ツールを1000回実行した場合にマルウェアが検出される割合は、世界平均が10.0%だったのに対し、日本は1.8%だった。CCCを運営するTelecom ISAC Japanの企画調整部長、有村浩一氏は「OSレベルで脆弱性対策が進んだことや、CCCに参加する70社のISPが連携してボットに感染したエンドユーザーへ直接アプローチすると取り組みを進めた結果ではないか」と話す。

 しかし、2008年上半期のマルウェア増加率は約20%だった。高橋氏は、増加する脅威に対して「技術的にアプローチする“狭義”のセキュリティ対策ではなく、利用者のモラルや適切な利用方法を含めた“広義”のセキュリティ対策を考える必要がある」と提起している。

相手を信頼する環境をどう作るか

 高橋氏によれば、今後のセキュリティ課題で重要になるのが、「通信する相手を信頼する」ための判断基準だという。

 こうした背景には、オンライン世界のグローバル化やクラウド化で個人情報の扱い方やデータの所在が不透明になり、そこに付け入る脅威の増加がある。「犯罪者を追跡するのが難しく、現実世界では国や地域で法規制も異なる。利用者は不安を感じながら使わざるを得ない」(高橋氏)

 Trustworthy Comuputingなどの活動によって、製品レベルでは正規品であることを信頼できるといった環境を実現しつつあるという。さらに、利用者レベルでの信頼を確認すための仕組みでは、「必要最低限の個人情報を求めて認証を行い、厳格なアクセス制限と適切な権限の付与する基盤が必要。この基盤が正しく機能しているかどうかというチェックする」(高橋氏)としている。

 しかし、やり取りする人物やデータを信頼できるようにするためには、技術だけでアプローチするには限界がある。最も大きな障壁は、利用者の間に根付いた「都市伝説」をいかにして払拭するかであるという。「例えば、コンピュータに少し詳しい人が初心者に対して提供した操作方法がまるでベストな方法であるかのように広がってしまう」(高橋氏)

 高橋氏は、個人の能力を引き出すことができる自由なインターネット社会の機能を損なわずに、こうした慣習をどのように取り除くには技術の枠組みを越えた政府機関や業界団体、利用者、有識者による議論が必要だという。

 「経済や文化、国際情勢も含めて、安心してコンピュータを利用できる環境とは何かを考えていくべきタイミングが来ている」(同氏)

 また、有村氏によればCCCの活動例がこうした課題解決のヒントになるという。

 「CCCとISPでマルウェア感染を発見した利用者に駆除方法を伝えると、“ありがとうございます”という言葉をいだだくことが多い。利用者が安心できる枠組みを関係者が密接になって作り上げていくことが大切だ」(有村氏)

過去のセキュリティニュース一覧はこちら

Copyright © ITmedia, Inc. All Rights Reserved.

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -