ITmedia NEWS >

Microsoft幹部に聞く、セキュリティ強化構想の今(1/2 ページ)

» 2004年07月28日 18時27分 公開
[IDG Japan]
IDG

 Microsoftの「Trustworthy Computing」構想のチーフストラテジストとして、スコット・チャーニー氏は、ビル・ゲイツ氏とスティーブ・バルマー氏率いる上級幹部陣に、懸案事項を直接伝えられる立場にある。また元検察官の同氏は、セキュアな製品とサービスを推進するSecurity Strategies Groupの先頭にも立っている。同氏は最近ボストンを訪れた際、同氏はMicrosoftのセキュリティへの取り組みについて話した。

――Microsoftでは、意思決定の権限の大半が製品部門にありますが、これらの部門はあなたがやろうとしていることと、ある程度利害が衝突するかもしれません。あなたは変更が必要な場合に、それについてどの程度の権限を持っているのでしょうか?

チャーニー氏 Trustworthy Computing構想はビル・ゲイツが発表し、スティーブ・バルマーも支持しています。私の上司のクレイグ・マンディは、Trustworthy Computingの父のようなものです。クレイグはいわゆる上級幹部に属しています。その中には、ビル、スティーブ、Windowsプラットフォームの長ジム・オールチン、Officeプラットフォームの責任者ジェフ・レイクスが含まれています。実際問題として、当社の最高レベルではこの構想に力を入れています。もし問題があって、それが正しい方向で処理されるようにしようという場合、私の上司に当たるのはクレイグです。ですから上申の経路は非常に短いですし、私が上申する人たちが実際にMicrosoftを動かしているのです。

 どのような業務であれ、利害の衝突は常に存在します。当社は公開企業ですので、株主に対する義務があります。ですがセキュリティは今、好調なビジネスであり、かなり足並みが揃っています。9月11日の大規模テロ以降、こうした対立はかなり減少しています。

――企業サイドとコンシューマーサイドで、できるだけ使い勝手を良くしたいというニーズと、できるだけセキュリティを高めたいというニーズの対立はありますか?

チャーニー氏 その点での対立はあります。これに対処する方法の1つは、セキュリティをできるだけ容易にし、ユーザーの目に見えないようにして、ユーザーが実際に自分で管理する必要もなく、ユーザー体験に影響を与えることもなくセキュリティを入手できるようにすることです。そうは言っても、技術の準備ができていない場合もあります。

 スマートフォンがいい例です。この手のデバイスでは予定表とメールを同期化できます。セキュリティの点から見ると、多くの人がスマートフォンをタクシーの中で紛失したり、レストランに忘れたりしています。そこでわれわれが考えるべき対策の1つは、こうしたデバイスを紛失してしまうかもしれないコンシューマーを守るために、デバイス上のデータをすべて暗号化することです。私は携帯端末メーカーの関係者とこうした話をしたことがあります。彼らが口にしたのは「これは小さなデバイスで、市場の競争は非常に激しい」という言葉でした。彼らはコンシューマー市場のプライスポイント(その価格を超えれば、製品を買ってもらえなくなるという価格)を分かっているのです。さらに実際問題として、人々は予定表や電子メールも好んで使いますが、電話をかける機能も望んでいます。スマートフォンを暗号化すれば、電話帳などあらゆるデータにアクセスするたびにそれを復号し、画面を閉じるときにまた暗号化しなくてはなりません。すべての電子メールの全情報を迅速に暗号化し、復号したら、通話できる時間は2分になってしまいます。その原因はバッテリーにあります。これまで、バッテリー持続時間に大きな改善はありませんでした。ですから当社は、たとえセキュリティの面で優れているとしても、スマートフォンの暗号化はしない方針です。役に立たなくなってしまいますから。

 セキュリティ機能を受け入れてもらうためには、それが役に立つものでなくてはいけません。人々はセキュリティが生産性の足を引っ張ることを理解しています。ログインの前にパスワードを入力しなければならない場合、2〜3秒の時間を要します。人間には受け入れられるレベルというものがあります。家を出るときにドアにカギをかけ、帰ってきたときにカギを開けるのには1〜2分かかります。ほとんどの人は「ドアの施錠にかかる時間は、受け入れられる程度のものだ」と言うでしょう。

 機能性についても同じように考える必要があります。セキュアな方法で機能性を提供する方法を見出さなくてはなりません。それから私は、機能性を損なわないようにセキュリティを施すにはどうするかを考えています。そうしなければ、セキュリティはユーザー体験を低下させてしまい、ユーザーはセキュリティをオフにしてしまうでしょう。

 重要なのは、バランスを取ることです。以前と違って、「セキュリティについては話したくない。セキュリティなど取り入れたくない。セキュリティは大事なことではない」という意見は見られなくなりました。今は開発者でもアーキテクトでも、企業のすべてのレベルで「どれも重要な要素だ。どうやったら対立する利害の均衡を取れるだろうか」と考えるようになっています。

――Trustworthy Computing構想の進捗をどのように測っていますか?

チャーニー氏 各種の測定法をいろいろなやり方で使っています。非常によく使われる手法は、プルーフポイントを探すことです。プルーフポイントは具体的なものもあれば、一般的なものもあります。例えば、当社が今進めている取り組みの1つに、セキュリティ強化とレビューのプロセスがあります。われわれは社内で、このプロセスを通過した大型製品のコンポーネントの割合、すべてを通過したコンポーネントの数を測定できます。それから社外から測定する方法としては、リリースされたセキュリティ警報の数があります。最終的な目標は、顧客の使い勝手を向上させると同時に、セキュリティをもっと管理しやすくすることです。Sasserワームを例に取ると、Windows Server 2000のユーザーは重要なパッチをダウンロードしなくてはなりませんでした。Windows Server 2003は影響を受けませんでした。これを見ると、「Windows Server 2003はセキュリティ強化を受けた」ということが分かるでしょう。誰かがワームを作っても、この製品は影響を受けなかったのです。この製品にアップグレードしていた顧客は、Sasserに対処する必要はありませんでした。明らかに2年前よりも状況は良くなっています。

――具体的な測定法は確立したのですか?

       1|2 次のページへ

Copyright(C) IDG Japan, Inc. All Rights Reserved.