ITmedia エンタープライズ

　完璧主義者を自称するMicrosoftのジム・オールチン氏は、同社がMSBlastの余波を受けたこの2週間、特に苦々しい思いをしてきた。Microsoftのプラットフォームグループを統括する副社長である同氏は、先週、ComputerWorldでセキュリティ問題に関して、Microsoftは「新しい提案」をしなければならないとする自身の意見を展開した。

オールチン　われわれが今までこの問題に対して取ってきた方針とは違うものを採用すべきだという結論に至ったので、私個人はこの問題に多くの時間を割いています。現段階でお知らせすることは何もありませんが、今後何かお知らせできると思います。このような騒ぎはもう十分なので、この問題に取り組むことにしました。われわれは、この問題について何か新しい提案を行うチームを組んでいます。

オールチン　いいえ。すべてのソフトウェアに問題があるのです。われわれは、これまでとは異なる取り組みでその問題に当たらなければなりません。とにかく、注目していてください。

オールチン　もし世界中のすべての人がパッチを適用していたならば、それは素晴らしいことです。しかし問題は、「実際にすべての人がパッチをインストールすることを期待できるか」ということです。私は、提案として、人々がそう完璧にやってくれると期待することは非常に難しいと思います。もし、そう完全に実行していれば悠然と構えていられますし、私は実際に完全にパッチを適用した企業を知っています。

オールチン　あなたの会社の環境にそのマシンを入れれば、問題を抱えることになります。もしマシンを周囲で保護しないならば、内側で保護することになります。ここで、何らかの理由でパッチを適用してこなかったマシンが数台あると仮定しましょう。それらのマシンはノートPCです。これまで、ウイルス対策サービスに接続したことは一度もありませんでした。われわれはそうした場合に、パッチの配布が完全に行われたことを期待するのではなく、たとえ大掛かりな配布技術を提供することになっても、これまでとは異なる対策で対処しなければならないと私は考えています。

オールチン　それは分かりません。

オールチン　その通りです。

オールチン　私は、それがまったく新しい製品になるとは思っていません。

オールチン　そうです。

オールチン　取り組みは第二段階に入ったと見てほしいのです……。われわれは、セキュリティをデフォルトの設定で提供すると言いました。今度はデフォルトの設定で防御機能を提供する段階に移行すると考えてもらいたいのです。それを実現するには非常に時間がかかりますし、われわれはとても真剣に取り組んでいます。

オールチン　両方です。われわれはかなり早期にこの技術をチェックできると思っています。

オールチン　その質問にはいく通りにも答えを用意できます。Windows XPはInternet Connection Firewall（ICF）機能を搭載しており、この機能は当初より搭載しています。どうしてユーザーはその機能を有効にしないのでしょうか？　われわれはその機能に関して、十分に宣伝してこなかったのでしょう。それというのも、それは保護してくれる機能だからです。正直なところ、私のPCは一度もウイルスの被害にあったことがありません。その理由は、われわれが十分にユーザーに伝達していなかった基本的なことをいくつか実行しているからです。さらにその後、いくつか別のことを実行する必要もあります。私はたまたま自動更新をスケジュール化していました。私の母親のPCも被害に遭っていません。母はICFを有効にしており、更新をスケジュール化していますが、私はこの機能について母に説明したことはありません。私の義理の母も同じ状態です。私はPCを設定するときに、常にこの機能を有効にします。

　われわれはこれまで、コードの改良などの作業に多くの時間を費やしてきました。そして少なくとも私の目には、今こそ次の段階に進むべきときだと映っています。

オールチン　われわれが技術を買収するのはセキュリティを信頼しているからですが、その技術がどう製品化されるかは、私には分かりません。

オールチン　私は頭脳をフル活用して、現在の顧客のために、そしてかれらをどう支援していくかを考えています。もしMicrosoftが既存技術が持っている差し迫った問題に対処する必要があると判断すれば、私自分はそれをチャンスだと信じられるでしょうか？　答えはイエスです。しかし、そのような機会は、私が基本だと見なすものの範疇に入っていません。

オールチン　私は、企業ユーザーがそうした意見を述べる理由が理解できるし、Microsoftがその問題で困惑している理由も分かりますが、どちらかの肩をもつこともできます。考えるべき問題は山ほどあって、その中には、考慮すべき法的な懸念もあります。つまり、容易に答えられる質問ではないということです。

　「ウイルス対策は、明らかに搭載するべきだ」という人がいるかもしれません。「いや、ウイルス対策で儲けるべきだ」という人もいるでしょう。また、「私が言いたいことは、ウイルス対策が間違った解決策だということにつきる。侵入検知／予防システムを搭載すべきだ。それこそが本当の解決方法だ」という人もいます。「それなら、それは製品に組み込むべきか？」。「まさか」。「それならば、エンタープライズ版で追加料金を徴収すればいい」。誰もが違った視点を持っています。

オールチン　そうだと思います。これは、誰の事業をも脅かしていると思います。これはMicrosoftの公式見解ではありません。私が見たところ、顧客は、あまりにコンピュータに依存しているため、ITインフラが自社の事業を危険にさらすと感じているようです。それは業界全体にとっての大問題ですし、われわれにとっても大きな問題です。

例えば、ユーザーがもう少し気楽に利用できると感じれば登場するかもしれないすべてのWebサービスと比較すると、より多くの機会が限定的だと言えるでしょう。注意深く見れば、機会はたくさんあるのです。

オールチン　私個人としては、答えはノーです。われわれの中には、そう考えない人もいるでしょうが、私個人はここしばらく、その件に関してとても敏感になっています。Microsoft全体が、信頼性は、それなしでは事業活動ができないようなもので、実に上手に勝ち取っていかねばならないと思っているのは確かだと思います。

オールチン　その取り組みは完全に漸近的なものなので、その質問に答えるのは変な感じがしますが、最初の曲線部分では大きな飛躍を遂げました。ですから、私はものすごい進歩だと思っています。われわれは社員全員をトレーニングしました。テキストを書いた社員がいます。われわれは、実際に起こった脅威のモデルを持っています。われわれは、ツールを使用してあらゆる作業を分析していますが、それは実に驚異的なことでした。われわれの研究チームには、問題を探してコードを分析するツールに取り組む優秀な人材が揃っています。セキュリティ上の弱点が見つかれば――その解決法は、出荷しないことです――そして、それを会社全体に深く浸透させれば、それは素晴らしいことなのです。

　われわれは完璧でしょうか？　答えはノーです。しかし、われわれが登ってきた坂道を見れば、かなり驚異的だと言えるでしょう。われわれの功績は、誰の目にも明らかというわけではないかもしれません。それというのも、船の向きを変えるのと同じで、向きを変えるとその船の姿は目に見えなくなることがままあるからです。しかし、われわれは船の向きを変えたのです。

　Windows Server2003は、大きな一歩です。十分とは言えませんが、本当に大きな一歩です。数年前を振り返ると、劇的に違っています。つまり、Windows NT 4や、Windows MEと比較すると、大きく変わっているのです。現在の環境は非常に異なっています。Microsoftは方向性を変えました。そして、私にはその内部が進化しているのが分かるのです。

　あなたは失望する点について質問しましたが、私はある種の完全主義者で、行うべき作業はまだあります。われわれはそれは理解しています。私は個人的に、今回のワームの件を残念に思っています。私は影響を受けませんでした。私はどうすれば回避できるかを知っていましたが、ユーザーはそれを知りませんでした。そこで私は、――Microsoftは――責任を取るのです。われわれは、そこを改善しなければなりません。