| エンタープライズ:トピックス | 2002年5月30日更新 |
MSセキュリティ最高責任者来日,司法省での経験も豊富
 |
|
|
|
マイクロソフトは5月30日,RSAカンファレンスでの講演のために来日した同社の最高セキュリティ責任者,スコット・チャーニー氏のプレスブリーフィングを都内のホテルで開催した。同氏は,米司法省でコンピュータ犯罪への対応をしていた経験を踏まえて,機能よりもセキュリティを最優先する同社の「Trust Worthy Computing(信頼できるコンピューティング)」を引き続き推進することを強調した。
チャーニー氏はセキュリティ分野に関しては目を見張る経歴の持ち主。入社前は,プライスウォータハウスクーパース(PwC)で,サイバー犯罪の防止と対応手法の開発を手掛けた。また,PwC以前は米司法省の犯罪検察部門に所属。1991年から1999年にかけて米国で発生したハッカー事件のほぼすべてで,解決に貢献したという。
司法省時代のエピソード
この日,記者発表の前に行われたRSAカンファレンスの講演で,チャーニー氏は米国でのさまざまなコンピュータ犯罪について紹介している。
あるラジオ番組の曲当てクイズの例。日本で言えば,「クイズ・ドレミファドン」といったところだろう。あるハッカーは,ラジオ局のコンピュータに進入し,正解となる曲を書き換えてしまった。そして,同番組に出演し,次々とクイズに正解して賞金300万円を獲得したという。副賞のハワイ旅行にも出かけた。後に,このハッカーは逮捕され,41カ月の刑に処せられた。
同氏はさらに,銀行強盗の事件も紹介した。「昔は銀行強盗をするために銀行に行かなくてはならなかった」と言う同氏。
米国では,インターネットを通じて1000万ドルが盗まれるという事件が実際に起きたという。この事件では,何も知らない複数の人々が,何者かに頼まれて世界中の銀行からインターネット経由で金を引き出した。結局,この総元締めの人物は逮捕されたが,調べてみると,犯人はロシア人で,米国には一度も来たことがない人物だったという。
チャーニー氏は,セキュリティの確保にはITだけではどうにもならない部分もあるとした。暗証番号をメモに書いてしまうなどがそうだという。
確かに,お年寄りの方で,クレジットカードの裏に「0530」といった具合に暗証番号が大きな文字で書かれているのを見たことがある。これは技術というよりは,習慣の問題に近い。やはり,1人ひとりがセキュリティに対して,しっかりとした心掛けを持つことを第一歩とするべきなのだろう。
 |
| 「Trust Worthy Computing」を推進するというチャーニー氏 |
信頼できるコンピューティング実現の道のりは長い
4月1日付けで,マイクロソフトの最高セキュリティ責任者に就任した同氏は,「電気や電話と同じくらいセキュアな,信頼できるコンピューティングを実現するためには最低10年かかる」と話す。問題は複雑ということだ。また,「ソフトウェア,ハードウェア,ISPなど業界全体が協調する必要がある」としている。
同氏は,マイクロソフトが行っている具体的な取り組みについて紹介した。例えば,WindowsやVisual Studio .Net,Officeなどのコードレビュー,Web Service Securityに関するIBMとの共同発表,Software Update ServicesやBaseline Security Analyzerなどの無償セキュリティ管理ツールの開発など。
さらに,個人情報保護の現状や改善策の必要性について把握するためのPrivacy Health Index測定ツールの導入,Windows XPのIE6でのP3P採用,セーフハーバー協定(関連記事)への署名と同社が扱うすべてのデータへの適用などが挙げられた。
同氏は「安全性確保には,設計段階,初期設定,導入の各フェーズでの取り組みが必要だ」とする。例えば,初期設定について,IIS6.0ではこれまでとは異なり,各機能を出荷時はデフォルトでオフにすることで,ハッカーの攻撃からシステムを守る。ユーザーは必要な機能を設定でオンにする作業が発生するが,セキュリティは高まるとしている。
同氏は,顧客に必要なのはセキュリティ管理をしやすい環境だとし,パッチ管理手法について,システムの状態を検査するためのツール開発や,パッチの自動配布などを行うとした。
関連リンク
[怒賀新也,ITmedia]
