マイクロソフト、“Trustworthy Computing”の取り組みに関するプレスラウンドテーブルを開催――ネットワークインフラ保護における官民連携の重要性を強調
2004年09月27日 21時05分更新
マイクロソフト(株)は22日、同社が掲げる安全かつ信頼性の高いコンピューティング環境の実現を目指すスローガン“Trustworthy Computing(信頼できるコンピューティング)”に関するプレスラウンドテーブルを開催、米マイクロソフト社の“Trustworthy Computing”最高責任者のスコット・チャーニー(Scott Charney)氏が来日し、主に政府や官公庁との連携などの取り組みについての説明を行ない、出席者からの質疑に応じた。
 |
|---|
| 米マイクロソフト社“Trustworthy Computing”最高責任者、スコット・チャーニー氏 |
チャーニー氏は、元米国司法省・連邦検察官で、コンピューター犯罪や知的財産権を担当する課の主任を務め、その後、民間のコンピューター・セキュリティーのコンサルタント会社を経て、マイクロソフトに入社したという、サイバー犯罪やセキュリティー問題の専門家。製品やサービスの安全だけでなく、政府や公共機関との連携などといった分野での活動も同社入社以前から行なっており、来日に先立って、中国でも政府/官庁関係者と意見交換を行なったという。今回の来日の主な目的は、日本政府の内閣官房、経済産業省や総務省、警視庁のサイバー犯罪担当セクションといった、政府/行政との会談だとしている。
同氏によると、広い意味での“インフラ”(水道やエネルギー、交通など)の保護とは、公共の安全、治安の基本であり、経済の繁栄や国家の安全に関する重要な問題であるという。一般的な公安や治安、国家の安全というものは、国家が主導して行なうものであり、国民は保護/保障を国家に期待するものだという。しかしインフラの場合は、その多くが民間の手で展開/維持/管理されるもので、インフラの保護/保障には「官民が密に協力していかなければならない」と述べている。
社会にコンピューターネットワークが広く浸透してきた現在においては、ネットワークのインフラも、ライフラインなどと同様の範疇に含まれるものだとしており、インフラ保護への取り組み、コンピューターおよびネットワークの信頼性向上、官民連携による保護/保障は欠かせないものだと述べている。同社ではこれに向けて、各国政府/省庁からのソースコード開示請求に応じる“ガバメント・セキュリティー・プログラム(GSP)”を50以上の国と締結し、情報の提供に応じているという。なお、GSPによる情報開示は現在のところはWindowsが対象だが、Officeのソース開示についても追加していくとしている。
また、コンピューターが関連する犯罪における同社の姿勢は、大きく以下のようにまとめられるという。
- 同社が被害者になる場合
- 公共のしかるべき機関に被害を訴え出ることで情報を社会に開示
- 同社が直接の被害者ではないが、同社のインフラが悪用された場合
- 公共の機関による調査/捜査に積極的に協力
- コンピューターが犯罪に悪用されている場合
- 必要な技術情報の提供を調査/捜査機関に提供
- サイバー犯罪への対策
- 報奨金制度の設置による情報収集、法令に準じた形で随時各機関に協力
また、学識/有識者や政府/省庁との面談も頻繁に行なっているほか、国際的な協力体制の確立にも積極的に取り組んでいくという。
概要の説明に続いては、同氏が出席した記者からの質問に応える形で、同社の取り組みや方針、現状についての補足説明が行なわれた。
まず、アメリカと日本のネットワークインフラの保護への取り組みに関する現状と違いについては、アメリカでは、日本などの諸外国に比べてやや先んじて、'90年代から活発にサイバーインフラ、基幹システムの安全対策への取り組みが加速しているという。しかしこのような動きは、アメリカに先見の明があったからではなく、以前からインフラやシステムを狙ったサイバー犯罪(侵入や攻撃)が多かったために必要に迫られて取り組んでいたものだとしている。日本については、「(日本政府は)インターネットはバーティカル(垂直的)なものではなく、横方向への広がりを持っているものである、という認識を持っている」と述べ、ネットワークインフラの保護に対する高い意識を持っていると評価。その一方で、政府は保護計画作りに苦心しているようだとも述べており、その根底には、横の広がりを見せていくサイバー犯罪に対して、政府/省庁の仕組みが縦割り的なところに難しさがあるのではないかと指摘している。
また、一部に対して先行してセキュリティー情報を流すケースも考えられているというが、この対応は不平等ではないかとの質問があったが、チャーニー氏は「マイクロソフトの責務は平等にユーザーを保護すること」であると述べ、原則的には、パッチの準備ができないうちは脆弱性情報を提供することはせず、責任ある情報開示を行なうものであるとした。ただし、状況に応じては、秘密保持契約を結んで早期開示を行なうケースもあり、契約を結んだ各社/各機関がアップデートや対策の準備に取り掛かれるよう、十分な情報を提供していく必要があるとした。
“Trustworthy Computing”の実現に向けた同社の開発体制の取り組みに関する質問では、大幅な“開発のあり方”の改革を強調。現在では、開発ライフサイクルの変更を行ない、初期の段階からセキュリティーの“脅威モデル”を検討し、すべての開発工程でセキュリティー関係のチェックを行なっているという。また、βテストの段階で脅威モデルを再検討し、セキュリティーの側面から出荷に耐えうるかどうかを検証する、という体制を構築しているという。さらに同社では、こうした開発の中で得たセキュリティー面での知識、ノウハウの公開にも取り組んでいくとしている。
さらに、セキュリティー面でのオープンソースのソフトウェアとの同社製品との比較についての質問には、自社の製品が絶対だとは言い切れないとしながらも、「オープンソースのほうがセキュリティー性が高いと言われているが、統計に裏付けられたものではない」と主張。開発に際し、適切にセキュリティーの視点でコードを見ているかどうかが同社の開発体制との大きな違いだと述べた。また、これらの話題と関連して、ソフトウェア開発におけるセキュリティー教育の重要性についても言及。「コンピューターサイエンスはセキュリティー対策を教えてはくれない」と述べ、同社では、Windows Server 2003の開発に向けて、約8500人の開発者がセキュリティーに関するトレーニングを受けたとした。
同氏は質疑応答の中で、“Trustworthy Computing”の実現の重要性を「マイクロソフトだけのことではなく、業界全体、世界全体に言えること」だと説明。「誰かだけが成功すればいいわけではなく、業界横断的に取り組んでいかなければならない」として、セキュリティー対策を中心に、官民連携と業界内連携が必須であるとした。
