 |
|---|
| 米マイクロソフト社 コーポレート バイス プレジデントでセキュリティ ビジネス&テクノロジー ユニット担当のマイク・ナッシュ氏 |
マイクロソフト(株)は4日、セキュリティーをテーマとしたIT管理者および開発者向けの技術説明会“SECURITY SUMMIT 2005 Fall”を東京プリンスホテル パークタワーで開催した。2005年の“SECURITY SUMMIT”は、3月(大阪/東京/名古屋の3会場で開催)に続いて2回目。午前中に行なわれた基調講演では、米マイクロソフト社 コーポレート バイス プレジデントでセキュリティ ビジネス&テクノロジー ユニット担当のマイク・ナッシュ(Mike Nash)氏が、マイクロソフトのセキュリティーに関する展開の進捗と今後の技術戦略などについて説明した。
 |
 | |
|---|---|---|
| 2004会計年度および2005会計年度に公表された脆弱性情報の総数(写真左側のグラフ)とクライアントOSの脆弱性情報の件数(右)。製品数が増えたこともあり総数自体は増えているが、“Trustworthy Computing”に基づいて開発が進められたWindows XP SP2では、脆弱性情報が大幅に少なくなっているとしている | 2005年に収集されたWindows Server 2003およびRed Hat Enterprise Linux 3の脆弱性の件数比較 |
 |
|---|
| 2005年に収集されたサーバーOSの脆弱性情報の件数をキャンディーの個数を使って比較。赤いキャンディー(Red Hotという名称らしい)でRed Hat Enterprise Linux 3の脆弱性情報の件数を数え、「両手からあふれるほど」だとアピール |
マイクロソフトは2002年以来、全社的施策として“Trustworthy Computing(信頼できるコンピューティング)”の実現に取り組んでいるが、セキュリティーは“Trustworthy Computing”を構成する重要な要素のひとつに挙げられている。ナッシュ氏によると、“Trustworthy Computing”の取り組みにより、同社では「セキュアーな製品の提供に向けた開発プロセスやカルチャー自体の変更」が行なわれたといい、“Trustworthy Computing”の考え方に基づく開発ライフサイクルが導入された後の製品(Windows Server 2003やWindows XP SP2など)では、緊急または重要な脆弱性情報の件数が確実に少なくなっているとしている。また、オープンソース系OS(Linux)とWindows Server 2003の“セキュアーさ”の比較については、第三者機関が収集した脆弱性情報の件数を提示して比較し(対象はRed Hat Enterprise Linux 3)、Windowsプラットフォームの安全性をアピールした。
 |
 | |
|---|---|---|
| “Trustworthy Computing”提唱前/後の製品における脆弱性の件数の変化 | “Trustworthy Computing”に基づいて取り入れられた開発ライフサイクル“Security Development Lifecycle(SDL)”の成果例。例に挙げられたワーム“Zobot”の場合、過去の製品ではコードをユーザーが実行してしまう可能性が高かったが、SDLが取り入れられたWindows Server 2003やWindows XP SP2ではその危険性がほとんどなくなるほどに低下 | |
| “Trustworthy Computing”の成果例。なおナッシュ氏は、“Trustworthy Computing”の進捗度を測る指標としては、顧客満足度(最重要だとしている)、脆弱性の件数、脆弱性のインパクト(危険度)などがあるとしている | ||
またナッシュ氏は、2005会計年度(2004年7月~2005年6月)の主な取り組みの進捗状況としては、以下の製品を挙げている。
- Windows XP SP2
- 2億9800万コピーを頒布。Windows XP SP2により、脆弱性の件数は1/3に減少(“緊急”なものは半減)、悪意のあるソフトウェアによる感染は従来バージョンまでの1/15に。
- Windows Server 2003 SP1
- 300万以上のダウンロード。“セキュリティ構成ウィザード”の搭載やより安全性の高いデフォルト設定を導入するなど、よりセキュアーな設計が採られた。
- Microsoft Windows AntiSpyware Beta
- 米GIANT Company Software社買収後にマイクロソフトが提供を開始したスパイウェア対策ソフトのβ版。同社史上最多のダウンロード数を記録。なお、2006年を目標にWindows XP向けの日本語版を、Windows Vistaでは標準機能として統合し提供予定だという。
- 悪意あるソフトウェアの削除ツール
- Windows XP/2000およびWindows Server 2003が導入されているコンピューターが特定の悪意のあるソフトウェアに感染していないかをチェックし、感染が見つかった場合には削除を行なうツール。Windows Update/Microsoft Updateなどを通じて配布。これまでに全世界で計13億回実行されているといい、ボットの感染を劇的に低減したとしている。
ナッシュ氏は、今後のセキュリティー対策についてのビジョンを「相互接続された世界の可能性を最大限に実現するために、コンピューティング環境において“信頼”を確立すること」だとして、一般の生活やビジネスにおけるインターネットの利便性や重要性がさらに高まる今後に向けて、より一層取り組みを強化して継続していくと述べた。そしてそのための課題として同氏は、
- セキュリティー更新プログラム(脆弱性対策パッチ)の頻度削減
- 効率的なセキュリティー更新プログラムの展開
- 多層防御対策の実装
- 企業の枠を超えるアクセスの管理
- システムをセキュアーにするためのよりよいガイダンスの提供
の5点を挙げている。
 |
 | |
|---|---|---|
| “脅威と脆弱性の緩和”に向けた取り組み | “IDとアクセス権のコントロール”に向けた取り組み |
さらに、これらに対応していくため同社では、“技術への投資”“規範的なガイダンス”“業界とのパートナーシップ”をセキュリティー戦略の柱とし、顧客の保護を支援していくとした。3分野に対する具体的な取り組みは以下のとおり。
- 技術への投資
- “脅威と脆弱性の緩和”“IDとアクセス権のコントロール”“基盤技術の強化”に関する技術投資をさらに拡大。“脅威と脆弱性の緩和”では、悪意のあるソフトウェアや侵害からの保護として、予防(既知および未知の攻撃の阻止)/隔離(被害の局限化)/リカバリー(既知の正常状態への復旧)を、“IDとアクセス権のコントロール”では、信頼できるIDシステムを管理/運用するためのIDのライフサイクル管理/ポリシーに基づくアクセス権の供与/ライフサイクルを通じて情報を保護する環境の整備を、それぞれ進めていくとしている。
- また、日本市場に対する強力なコミットメントのひとつとして、非マイクロソフト製品(具体的にはWinny)に影響を及ぼす悪意のあるソフトウェアへの対策を“悪意あるソフトウェアの削除ツール”にて行なう。
- 規範的なガイダンス
- 開発者やIT管理者向けの情報提供ウェブサイト、OSの通知機能、各種教育/トレーニングプログラムを通じたセキュリティー情報の積極提供を実施。
- 業界とのパートナーシップ
- 報執行当局や社会政策策定機関への協力、企業
 |
|---|
| Internet Explorer 7に盛り込まれるセキュリティー対策機能。図中にある“ActiveX Opt-in”機能はWindows Vistaとの組み合わせで実現とされていたが、基調講演後の記者会見の席上、Internet Explorer 7単体で機能する(つまりWindows XP版でも利用可能)と訂正された |
基調講演の中では、今後の製品におけるセキュリティー対策の具体例として、開発中の次期ウェブブラウザー『Microsoft Internet Explorer 7』および次期OS『Microsoft Windows Vista』におけるフィッシング詐欺対策機能が披露された。
 |
|---|
| ActiveXコンポーネントの安全なダウンロード/導入を可能にする“ActiveX Opt-in”機能により表示される警告画面。現行のInternet Explorer 6と同様に、ツールバーに警告メッセージが表示される。このままダウンロードを継続した場合、ActiveXのファイルはテンポラリーフォルダーに置かれ、かつ“スタートアップ”などに不正に登録されることはなく、ActiveXコンポーネントの悪用防止が可能だという |
 |
 | |
|---|---|---|
| フィッシングサイトに対するフィルター機能の例。左の画面では“悪意のあるサイトの可能性があるサイト”である旨を知らせる黄色い警告ツールバーとダイアログボックスが表示されている。さらに“悪意のあるサイト”と断定されているサイトにアクセスした場合は、赤い警告ツールバーが表示され、サイト自体の表示もストップ、代わりに警告ページが表示される。フィルターの精度は、ユーザーからのフィードバックなども収集し、随時上げていくとしている | ||
基調講演終了後に行なわれた記者会見では、講演のフォローアップと質疑応答が行なわれた。この中で取り上げられた今後の製品や技術の登場/実装に関する方針/予定は以下のとおり。
- Windows XP SP3
- 現時点では予定はなし。機能強化/追加は、Windows Update/Microsoft Updateを通じてリアルタイムに提供。
- スパムメール対策技術
- ユーザー向けにはMSN(Hotmail)やMicrosoft Officeに組み込んで提供。サーバー向けの機能としてはExchange Serverにスパムメール対策機能をインテグレート。
- ウイルス対策技術
- ウイルス対策ソフトウェア+サービスとして“Windows OneCare Live”を提供。現在米国でβサービスを実施中。
