ニュース
2004/02/25 21:08:00 更新


マイクロソフト、脆弱性情報を広く受け付ける新サイトを設立

2月25日、マイクロソフトは脆弱性情報を広く受け付ける新サイトの設立など、セキュリティへのさまざまな取り組みを明らかにした。

 マイクロソフトは月例プレスセミナーで、ユーザーから脆弱性情報を受け付ける新サイトの設立など、新たなセキュリティへの取り組みを説明した。

MSSecu01.jpg

マイクロソフト 執行役 最高セキュリティ責任者 個人情報保護管理者 技術戦略担当 技術企画室の東貴彦氏


 登壇したのはマイクロソフト 執行役の東貴彦氏。東氏は2月から最高セキュリティ責任者(CSA:Chief Security Advisor)として、おもに政府や業界を中心としたセキュリティに関するコミュニケーション活動を行っている。「マイクロソフトのセキュリティに対する考え方を社内外に伝えるSpokesperson」(東氏)という立場で、マイクロソフト社内に設けられた2つの組織、1つはセキュリティ関連のマーケティング戦略などを実施するセキュリティ戦略グループ(JSSG)、もう1つは実際のインシデントに対応するセキュリティレスポンスチーム(JPSRT)との連携を図りながら継続的に活動していくという。なお、米国ではクレイグ・マンディー氏の率いる部隊が同様の活動を行っており、CSAは現在のところ全世界で10人ほどがお互いに情報交換をしながら連携して活動しているという。

 はじめに東氏はソフトウェアに存在する脆弱性の定義付けを行った。「脆弱性はイコール『欠陥』として受け取られがちだが、この2つは異なるもの。脆弱性は設計の時点では分からなかったもので、製品の出荷後に発見されるもの」と説明した。つまり、設計と違うものができあがった場合が『欠陥』であり、設計どおりに製品ができあがっても脆弱性は存在する可能性があり、それはあらゆるソフトウェアにおいて同様だという。

 こうしたソフトウェアの脆弱性は日々世界中の技術者や研究機関から報告されており、製造者であるメーカーはこれを常にモニターしておく体制が必要となる。

 そこで、マイクロソフトは脆弱性の報告を電子メールで受け付ける窓口を2月25日から開設した。すでに英語版サイトは稼動しているが、今回開設されたサイトは日本語で報告が可能であり、時差もないため情報のリーチもスムーズだという。ここへ寄せられた情報はマイクロソフト社内や調査機関などで検証され、全世界で共有されることになる。

 一般PCユーザーに向けたセキュリティに関する施策として、昨年9月より実施している「Protect Your PCキャンペーン」でも推奨しているWindows Updateの利用をさらに推し進めていくこと、またISPと提携してインターネットの利用者を守るセキュリティ対策プログラム「Global Infrastructure Alliance for Internet Safety(GIAIS:ガイアス)」を実施することも明らかにした。

 Windows Updateは、現在ベータテストが行われているWindows XP SP2ではデフォルトオンになっているなど、広くユーザーへその利用を呼びかける。また、現在の仕組みではUpdateサイトがWindows OSとOffice、SQL Server、MSDNといったプロダクトやサービスごとにそれぞれ別個となっており、ユーザーに負担を強いている。これを1つにまとめる「Microsoft Update」という仕組みも明らかにされた。提供時期は未定だが、統合化することで利便性は高まる。

 一方のGIAISは、ISPと提携してコンシューマユーザーへセキュリティに関する情報を提供し、セキュリティ対策の普及を狙うもの。ユーザーが契約しているISPから電子メールなどで直接セキュリティに関する情報を得ることができ、脅威の把握と迅速な緊急時対策に効果が期待される。

 ビジネスユーザーに向けた取り組みも紹介された。同社の資格認定制度であるMicrosoft Certified Associate(MCA)に、2004年4月からセキュリティ科目を追加することも発表された。製品技術ではなく、セキュリティ対策に関する総合的な知識の習得を目的とする。

 さらに、3月8日からパシフィコ横浜で開催される「Security Summit 2004」では、同社のセキュリティ担当者が詳細なビジョンおよび活動計画などを説明する場となる。またその翌日からスタートする「Secure System Training Tour 2004」は、最新のセキュリティ技術を習得するためのトレーニングを日本全国で実施するプログラム。IT Pro向け、Developer向けなど個別にセッションが設けられ、1日を要するトレーニングを無料で受けることができる。

関連記事
▼セキュリティはMSの“すべて”に影響――ゲイツ氏、RSA Conference基調講演
▼マイクロソフト、2万人の技術者を対象にした無償セキュリティトレーニングツアーを発表
▼ポストMSBlast時代の新セキュリティ戦略を披露したマイクロソフト
▼セキュリティチャンネル
▼Windows .NETチャンネル

[柿沼雄一郎,ITmedia]

Copyright © ITmedia, Inc. All Rights Reserved.