マイクロソフト(株)は7日、米マイクロソフト社シニアバイスプレジデント兼CTOのCraig Mundie(クレイグ・マンディ)氏の来日に伴う記者会見を都内ホテルで行なった。Mundie氏は、同社が今年初めに立ち上げた全社的施策“Trustworthy Computing(信頼できるコンピューティング)”について説明した。
 |
|---|
| 米マイクロソフト社アドバンスト・ストラテジー&ポリシー担当シニアバイスプレジデント兼CTOのCraig Mundie氏 |
Mundie氏は、同社のビル・ゲイツ会長直属のアドバンスト・ストラテジー&ポリシー担当CTOで、同社の中長期企業戦略の策定や、研究成果と商品開発の橋渡し、標準化や各国行政への提言などを行なっている。
同氏は、「さまざまなインテリジェントデバイスがインターネットにつながり、社会のあらゆる側面に関わる重要なインフラとなっている中で、テクノロジーやサービスを信頼して利用できるかがキーとなる。個人情報の保護とセキュリティーが重要なポイント。自己データの管理や著作権保護が必要で、データの改ざんやハッキング防止も保証されなければならない。電話や電力供給と同等の信頼性が必要であり、技術的問題だけででなく、ビジネスの手法にも重点を置かなければならない」
「Trustworthy Computingの実現に向けて、短期、中期、長期の3ステップで進めていく。短期的にはプロダクトのデザインや実装技術、セキュリティーポリシーの改善を行なう。これまでは過去のアプリケーションとの互換性を保つために脆弱なものになっていたが、今後は古いアプリケーションが動かなくてもセキュアなプロダクトを出すべき。また、開発チームのセキュリティーに関するトレーニングにも力を入れている。中期的には、現在のシステムは複雑な仕組みになっているので、自己修復機能を持つことでシステムの自動化を図る。長期的には、10年単位で基礎研究を積極的に行なう。政策に関する課題の解決も必要だ」としている。
同社は、Trustworthy Computingの実現において“目的”“手段”“実行”を定義している。あるシステムが信頼できるかどうかをユーザーが決定する場合の基本要件である“目的”として、“可用性”(保障されたレベルでシステムを利用できる)、“適合性”(仕様に見合う機能を備えている)、“完全性”(データ損失/改ざんへの対応)、“個人情報の保護”(エンドユーザーの承認を得た個人/法人のみが情報にアクセスできる)、“評価”(システムや情報提供者に対する世間の評価が高い)の5つをあげている。
“手段”は、目的項目を実現するために考慮すべき要件で、“セキュリティー”(不正アクセスの拒否)、“品質”(システムのパフォーマンスと信頼性)、“開発手法”(開発における理念、方法)、“運用”(ガイドラインおよびベンチマーク)、“ビジネス手法”(パートナーやユーザー等との関係)、“ポリシー”(法律や規則、基準)がある。また、“実行”における要素は“意思”(マネージメントの決断)、“リスク”(意思への攻撃や責務の原点)、“実施”(意思を具体化するステップ)、“結果の証明”(検査のメカニズム)となっている。
これらの目的、手段、実行の各要素に基づくと120通りの考察が可能という。例えばMicrosoft .NET Passportについて、“個人情報の保護を目的にすえた場合、不正アクセスというリスクを管理するにはセキュリティーという手段が必要”といった考察が成り立つ。Trustworthy Computingは複合的な概念であるため、さまざまな側面から分析するためにこれらは有効だという。
同氏は、現在ウイルス被害にあっている人の多くが、同社が提供する最新情報やメディアのIT関連記事などにほとんど目を通さない一般ユーザーであることに対し、一般的なコミュニケーションキャンペーンが必要だとしている。同社は、例えばWindows XP Home Editionにデフォルトでファイヤーウォール機能を搭載するなど、ユーザーに高度な知識がなくてもセキュリティー機能を利用できるよう考慮しているという。「自分がファイヤーウォールを使っていることさえ知らないユーザーもいるだろう」(Mundie氏)。同氏は、Trustworthy Computingを啓蒙するためには、一般ユーザーへの教育も含め、社会全体を変えなければならないとしている。
