Bill Gates氏が語る最新セキュリティビジョンの実現は遠い?(2/3 ページ)
MicrosoftはIDフェデレーションシステムにより、ユーザーID管理の改善に乗り出している。このシステムは、さまざまな組織が各種のセキュリティプラットフォームを使って、ユーザー資格情報を相互に発行して受け入れることができるようにするものだ。Windows Server 2003 R2には、Microsoftの最初のIDフェデレーションサービスが搭載されている。IDを扱う同社の他の製品には、Identity Integration ServerやMicrosoft Certificate Lifecycle Managerなどがある。Identity Integration Serverは、個人のすべてのID記録をその保存場所を問わず管理する。Microsoft Certificate Lifecycle Managerは、個人、サーバ、ソフトを確実に特定するスマートカードやデジタル証明書を管理する。また、新しい「InfoCard」APIおよびユーザーインタフェースも、ユーザーによるIDデータ管理を支援する。
しかし、まだ多くの作業が必要だ。Windows Server 2003 R2のIDフェデレーションは、シンプルなWebベースアプリケーションしかサポートしていない。フェデレーションが効果を発揮するには、ID情報を作成、管理、使用する各種システムにまたがって機能しなければならない。この課題に対するMicrosoftの回答は、「IDメタシステム」だ。IDメタシステムは、ユーザーと組織がID情報をやり取りする方法を定義するオープン標準のセットだ。
しかし、信頼を高める上での最大の障害は、ほとんどのユーザーが、運転免許証やパスポートのように信頼できる形で、自分のIDをデジタルに証明する(証明書を入手する)方法を持っていないことかもしれない。一部のIDシステムでは、個人が自分自身の証明書を作成または発行できるが、より高いレベルの信頼を確保するには、個人の本人性を保証する用意がある第三者が発行した証明書が必要だ。例えば、システムが、Michael Cherry(筆者)の提供する証明書を確実に信頼するためには、その証明書が、Directions on MicrosoftのWindowsアナリストであるMichael Cherryを表すことを確認できなければならない。VeriSignなどの企業からさまざまな証明書を入手することができるが、ほとんどのユーザーは、こうしたレベルの証明要求を満たす証明書を持っておらず、そうしたID検証を要求するサイトは、あるとしてもごくわずかだ。
人々と組織がお互いを識別するためのより良い方法が必要とされているが、ユーザーがActiveXコントロールなど、自分の使いたいソフトの作成者を特定できることも必要だ。それができれば、ユーザーは、開発者を信頼してソフトの実行を許可するかどうかを判断できる。
だが、IDインフラが整備されただけでは、必要なレベルの信頼は実現されない。ユーザーと組織も、情報が充実した証明書を使い、要求することを始めなければならない。
開発プロセスの継続的な改善が必要
MicrosoftのTrustworthy Computingの取り組みにおける目標の1つは、ソフトのセキュリティと全体的な品質を向上させることにある。Microsoftは以下のようなSD3フレームワークを導入することでその実現に着手した。
設計時のセキュリティの確保(Secure by Design)
最初からセキュリティをあらゆる機能の一部と位置づけて製品を設計、実装する。
出荷時設定時のセキュリティの確保(Secure by Default)
使われない機能については、必要になり適切に構成されるまで無効にし、すべてのユーザーの操作とサービスの動作が必要最低限の権限で行われるようにする。
展開時のセキュリティの確保(Secure in Deployment)
更新やバグの解決を含むソフトのライフサイクルを通じてセキュリティを維持する。
Microsoftはセキュリティエンジニアリングの目標を達成するため、機能追加のみを推進することをやめ、セキュリティを強化した製品を出荷するようになった。Microsoftは現在、セキュリティ関連の自社のプロセス改善ノウハウやツールの紹介や提供を行っている。例えば、同社は安全なコードの作成方法や、同社製品を安全に導入展開し、管理する方法のガイドを公開している。また、ソフトの設計者、開発者、テスターが製品のセキュリティリスクを軽減するのに役立つ同社のセキュリティ開発ライフサイクル(SDL:Security Development Lifecycle)のガイドラインとプロセスも公開している。
Copyright(C) 2007, Redmond Communications Inc. and Mediaselect Inc. All right reserved. No part of this magazine may be reproduced, stored in a retrieval system, or transmitted in any form or by any means without prior written permission. ISSN 1077-4394. Redmond Communications Inc. is an independent publisher and is in no way affiliated with or endorsed by Microsoft Corporation. Directions on Microsoft reviews and analyzes industry news based on information obtained from sources generally available to the public and from industry contacts. While we consider these sources to be reliable, we cannot guarantee their accuracy. Readers assume full responsibility for any use made of the information contained herein. Throughout this magazine, trademark names are used. Rather than place a trademark symbol at every occurrence, we hereby state that we are using the names only in an editorial fashion with no intention of infringement of the trademark.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- 投資家たちがセキュリティ人材を“喉から手が出るほどほしい”ワケ
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
- トレンドマイクロが推奨する、長期休暇前にすべきセキュリティ対策
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- ゼロトラストの最新トレンド5つをガートナーが発表
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- AIを作る、使う人たちへ 生成AI普及で変わった「AI事業者ガイドライン」を読もう
ITmediaはアイティメディア株式会社の登録商標です。