News | 2002年5月30日 10:57 PM 更新 |
今年4月1日、セキュリティ業界の大物が米Microsoftにやって来た。米司法省の犯罪検察部門において、コンピュータ犯罪と知的財産を担当する課の主任をしていたScott Cahrney氏である(2月1日の記事参照)。Charney氏は現在、Microsoftで最高セキュリティ責任者(Chief Security Strategist)という役職にある。
そのCharney氏が来日し、セキュリティカンファレンス「RSA Security Conference」で講演を行うとともに、報道関係者向けにMicrosoftの「Trustworthy Computing」(信頼できるコンピューティング)に関するブリーフィングを開催した。
Trustworty Computingは、Microsoftが「コンピューティングの安全性と信頼性を、現在の電気や電話のシステムと同等のレベルまで高めること」を目指して打ち出したセキュリティ強化戦略。これは、「リリースの時期を遅らせてでもセキュリティを優先する」(Bill Gates会長)というMicrosoft全社的なプロジェクトである(1月18日の記事参照)。
Charney氏はMicrosoftで取り組む最重要課題として、「ユーザビリティの向上とパッチマネジメントの改善」を挙げる。「セキュリティに関する問題で、大きな原因となっているのが、ユーザーが製品の脆弱性を認識していないこと。そのため、Windows XPではパッチをプッシュアウトする仕組みを取り入れたほか、セキュリティ情報の更新を定期的に行うようにした。ただ、利用者の全体的なセキュリティレベルを上げるためには、製品が広告のうたい文句通りちゃんと動いているのか、ジャーナリストの方に伝えてもらいたい」(同氏)。
もっとも、Trustworthy Computingとは、単純にWindowsの脆弱性を克服しようというものではない。むしろ、その先の、.NET戦略で実現しようとしているWebサービスとの絡みのほうが重要になってくる。
「Webサービスが相互接続された世界を実現し、ビジネスモデルの基盤として確立するためには、安全性ならびに信頼性の改善が不可欠だ。例えば、インタラクティブなペースメーカーに対し、悪意ある第三者が医師になりすまして偽の情報を送りつけたらどうなるだろうか? ネットワーク化された社会では、信頼性が何よりも重要である」(同氏)。
Microsoftでは、Trustworthy Computingプロジェクトが、「10年以上は継続して行わなければならない、長期にわたる取り組み」だとしている。ただ、Charney氏は、「10年後にあらゆる面で完璧なセキュリティが実現されるわけではない」と念を押す。
「セキュリティの問題について、早急に手を打たなければならないのは事実である。しかしながら、これは短期間で成果を挙げられるものでもない。Microsoftのみならず、ソフトウェアベンダー、ハードウェアベンダー、サービスプロバイダーが認識を改め、協調していかなければならない。そうした努力の結果、10年後には、十分なセキュリティレベルの環境が出来上がるということだ。だからいって、ハッカーからのすべての攻撃を避けられるとは、誰も思っていない」(Charney氏)。
「ただ、誰も信頼できないものを、当てにできないことだけは確かだ」
関連記事
[中村琢磨, ITmedia]
Copyright © ITmedia, Inc. All Rights Reserved.