技術では解決できないセキュリティ課題をどう乗り切るか:安心や信頼ベースの環境に
システムを取り巻く脅威から利用者を守るには技術的アプローチでは限界がある。業界の枠組みを越え、「安心利用できるIT環境とは何かを考えるべきタイミング」とマイクロソフトの高橋氏は語る。
マルウェアやスパム、不正アクセス、フィッシング詐欺……PCやインターネットの利用者を狙う脅威には終わりが見えない。いかに対策技術を導入しようとも、完全に防ぐのは難しい。マイクロソフトのチーフセキュリティアドバイザー、高橋正和氏は「PCに対する利用者の信頼をどのように高めていけばいいか、技術の枠を越えて多くの人々と考えたい」と話す。
高橋氏(左)と有村氏マイクロソフトでは、2002年から「Trustworthy Comuputing(信頼できるコンピューティング)」というセキュリティ活動に取り組む。「Security」「Privacy」「Reliability」「Business Practices」の4つをテーマに、統合的なセキュリティ対策技術の実現や、開発段階から脆弱性を生まないための手法やノウハウの提供、政府機関との連携などを推進中だ。
高橋氏は、「OSベンダーとしてセキュリティ課題に対する技術的なアプローチを継続している。脆弱性の減少やマルウェア対策では一定の効果が認められてきた」という。同社によれば、出荷後1年間に報告されたWindows Vistaの脆弱性件数は、Windows XPに比べて半減した。これは、ソフトウェアの開発から設定、配布の各段階でセキュリティを考慮する「SDL(Secure Development Lifecycle)」に基づくものだという。
また、外部機関と連携した活動の1つにボット対策プロジェクト「サイバークリーンセンター(CCC)」とのマルウェア対策がある。CCCから提供されるマルウェア検体や解析情報を「悪意のあるソフトウェアの削除ツール」や「Windows Defender」などに活用し、逆にCCCなどセキュリティ対策に取り組む機関に情報を提供する。
同社が11月4日に公開した「セキュリティ インテリジェンス レポート」によると、悪意のあるソフトウェアの削除ツールを1000回実行した場合にマルウェアが検出される割合は、世界平均が10.0%だったのに対し、日本は1.8%だった。CCCを運営するTelecom ISAC Japanの企画調整部長、有村浩一氏は「OSレベルで脆弱性対策が進んだことや、CCCに参加する70社のISPが連携してボットに感染したエンドユーザーへ直接アプローチすると取り組みを進めた結果ではないか」と話す。
しかし、2008年上半期のマルウェア増加率は約20%だった。高橋氏は、増加する脅威に対して「技術的にアプローチする“狭義”のセキュリティ対策ではなく、利用者のモラルや適切な利用方法を含めた“広義”のセキュリティ対策を考える必要がある」と提起している。
相手を信頼する環境をどう作るか
高橋氏によれば、今後のセキュリティ課題で重要になるのが、「通信する相手を信頼する」ための判断基準だという。
こうした背景には、オンライン世界のグローバル化やクラウド化で個人情報の扱い方やデータの所在が不透明になり、そこに付け入る脅威の増加がある。「犯罪者を追跡するのが難しく、現実世界では国や地域で法規制も異なる。利用者は不安を感じながら使わざるを得ない」(高橋氏)
Trustworthy Comuputingなどの活動によって、製品レベルでは正規品であることを信頼できるといった環境を実現しつつあるという。さらに、利用者レベルでの信頼を確認すための仕組みでは、「必要最低限の個人情報を求めて認証を行い、厳格なアクセス制限と適切な権限の付与する基盤が必要。この基盤が正しく機能しているかどうかというチェックする」(高橋氏)としている。
しかし、やり取りする人物やデータを信頼できるようにするためには、技術だけでアプローチするには限界がある。最も大きな障壁は、利用者の間に根付いた「都市伝説」をいかにして払拭するかであるという。「例えば、コンピュータに少し詳しい人が初心者に対して提供した操作方法がまるでベストな方法であるかのように広がってしまう」(高橋氏)
高橋氏は、個人の能力を引き出すことができる自由なインターネット社会の機能を損なわずに、こうした慣習をどのように取り除くには技術の枠組みを越えた政府機関や業界団体、利用者、有識者による議論が必要だという。
「経済や文化、国際情勢も含めて、安心してコンピュータを利用できる環境とは何かを考えていくべきタイミングが来ている」(同氏)
また、有村氏によればCCCの活動例がこうした課題解決のヒントになるという。
「CCCとISPでマルウェア感染を発見した利用者に駆除方法を伝えると、“ありがとうございます”という言葉をいだだくことが多い。利用者が安心できる枠組みを関係者が密接になって作り上げていくことが大切だ」(有村氏)
関連キーワード
Microsoft(マイクロソフト) | セキュリティ対策 | トラステッド・コンピューティング | Windows | 初心者 | クラウドコンピューティング | サイバー攻撃 | グローバル化 | 業界団体
関連記事
個人情報は特定されずに有効活用する環境を MSが取り組みを紹介
Microsoftの個人情報取り扱い最高責任者のピーター・カレン氏が来日し、同社の個人情報管理の取り組みについて説明した。
ソフトウェアの更新情報に関心を――MSがセキュリティ報告
マイクロソフトは2008年上期のセキュリティレポートを公開。システムの古い脆弱性を悪用する手口が目立っているという。
マルウェアの総合デパート「ボット」の現状とは
スパイ活動やシステム停止、スパム配信などさまざまなサイバー攻撃機能を持つ「ボット」の性能が向上している。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- 「欧州 AI法」がついに成立 罰金「50億円超」を回避するためのポイントは?
- 日本企業は従業員を“信頼しすぎ”? 情報漏えいのリスクと現状をProofpointが調査
- トレンドマイクロが推奨する、長期休暇前にすべきセキュリティ対策
- AWSリソースを保護するための5つのベストプラクティス CrowdStrikeが指南
- VMwareが「ESXi無償版」の提供を終了 移行先の有力候補は?
- 「プロセスマイニング」が社内システムのポテンシャルを引き出す理由
ITmediaはアイティメディア株式会社の登録商標です。