マイクロソフトが考える、安心できるコンピューティング環境とは？（1/2 ページ）

マイクロソフトでは「信頼できるコンピューティング環境：Trustworthy Computing」という独自の取り組みを実施している。プラットフォーム製品を提供する同社では、どのような考え方で安心を提供していくのだろうか。

[柿沼雄一郎，ITmedia]

このコンテンツは、オンラインムック「トラステッド・コンピューティングの世界」のコンテンツです。関連する記事はこちらで一覧できます。

　OSおよびアプリケーションなどのソフトウェアプラットフォーム製品を提供するマイクロソフト。同社が考える「信頼できるコンピューティング環境：Trustworthy Computing」とはどのようなものであるのか。チーフセキュリティアドバイザーである高橋正和氏に話を聞いた。

複合的になったセキュリティの概念

ITmedia　マイクロソフトでは、セキュリティをどのように定義しているのでしょう。

高橋　ひとくちにセキュリティと言っても、その切り口は実にさまざまです。その中の一つとしてのいわゆる「トラステッド・コンピューティング」の考え方は、信用できるものは何か？　という観点から、「最終的に信頼できるもの」としてハードウェアチップベースのソリューションを用いています。これは、安全性を確認する上で非常に重要な要素であることに間違いありません。

　しかし、完璧というものが存在しないように、セキュリティについてもある一部分だけをもって、すべて安全ということにはならないのです。つまり、セキュリティについてはやはりいろいろな角度から考えることが重要だと考えています。

マイクロソフト チーフセキュリティアドバイザー 高橋正和氏

ITmedia　例えばどういった側面がありますか？

高橋　1990年代には想像もできなかったほど、現在はインターネットが普及しています。その広がりとともに、今までセキュリティとは考えられてこなかった部分、例えばセーフティやモラルといったものまでもがセキュリティの概念に含まれるようになってきました。フィッシング詐欺に遭わないようにするために必要なのは、セーフティなのかセキュリティなのか、はたまたモラルなのかという切り分けは非常に難しくなってきています。また現在の最大のセキュリティ問題は、学校裏サイトであるとかプロフであるという意見もあります。これらは技術的なセキュリティが解決できる問題ではありません。

　大切なことは、利用者の立場に立って、さまざまな要素をセキュリティとしての枠に組み入れて考えていくことです。同時に、従来のセキュリティ専門家は、技術としてのセキュリティを追うだけではなく、こうした流れをしっかりと見据えていく姿勢を持つことも必要になっています。

ソフトウェアプラットフォームを安全にする試み

ITmedia　マイクロソフトの取り組みは？

高橋　マイクロソフトでは「Trustworthy Computing：信頼できるコンピューティング環境」の取り組みの中で、セキュリティおよびプライバシーについて「PCを守る」「自分を守る」「周りの人々を守る」という切り口で、「テクノロジー」「ガイダンス」「パートナーシップ」の3つの面からさまざまな活動を行っています。

　その中で、安全な製品を提供するためのSecure Development Lifecycle（SDL）というソフトウェアの開発プロセスがあります。ソフトウェア開発の設計から展開までの各工程で、セキュリティを配慮した開発を行うよう定めたものです。こうした取り組みは、きちんとしたモデルが決められていても、実際に機能しているというケースは少ないのが実情です。マイクロソフトではエンジニアに対して、こうしたプロセスを実施するためのトレーニングを一年に一回受けないと、社内で仕事をすることができない仕組みになっています。その結果、製品出荷後の脆弱性露見はそれ以前の製品と比較して大幅に減少しました。

　以前の製品品質の高め方として、出荷直前の検査で徹底的に叩き出すセキュリティプッシュという方法がありました。しかし、開発工程の下流、つまり出荷状態に近づけば近づくほど、こうした品質向上の手法は適用が難しくかつコスト高になるものです。そのため、こうした作業をどんどん上流にもっていった結果、SDLという手法にたどり着いたのです。プラットフォームの信頼性を高めるために、こうした活動を続けています。