マイクロソフトは10月4日、セキュリティ関連イベント「SECURITY SUMMIT 2005 Fall」を開催、「マイクロソフトのセキュリティへの取り組み-進捗、ビジョンそして戦略」をテーマに米Microsoftセキュリティビジネス&テクノロジーユニット コーポレートバイスプレジデントのマイク・ナッシュ氏による基調講演が行われた。
● Trustworthy Computingにより脆弱性は減少
|
米Microsoftセキュリティビジネス&テクノロジーユニット コーポレートバイスプレジデントのマイク・ナッシュ氏
|
ナッシュ氏はまず同社が進める「Trustworthy(信頼できる) Computing」の進ちょく状況を脆弱性を例に紹介。「2004年度に公開された脆弱性は46件で、2005年度に公開された脆弱性は62件と、数だけ見るとTrustworthy Computingはうまくいっていないように思われるかもしれない。しかし、その内訳をみると、MicrosoftがTrustworthy Computingを提唱してから出荷したWindows XP SP2では、2005年度で18件とWindows XP SP1の35件と比べて約半分まで減少した」と、Trustworthy Computingの学習効果であると強調した。
またオープンソースソフトと比べて脆弱性が多いというイメージを与えている点については、「調査会社の結果を見ると、Red Hat Linuxの脆弱性のほうが数は多い」と説明。脆弱性の数をキャンディに例え、Red Hat Linuxには手で抱えきれない数の脆弱性が存在したと、オープンソースソフトが脆弱性が少ないというイメージは間違いであると主張した。
|
|
Windows Server 2003とRed Hat Enterprise Linux 3との脆弱性数の比較
|
Red Hat Linuxの脆弱性を赤いキャンディで表現するナッシュ氏。手からこぼれるくらいの脆弱性が存在すると強調する
|
● セキュリティ機能を強化したIE7を紹介
|
セキュリティへの注力分野
|
セキュリティへの取り組みで同社が注力するのが、「技術への投資」「規範的なガイダンス」「業界とのパートナーシップ」の3つ。「技術への投資」は、同社が抱える製品の開発段階からセキュリティを意識した取り組みを強化したり、更新作業をより容易にするための技術開発を指している。この成果の一つとして、開発中のInternet Explorer 7(以下、IE7)で取り入れられるセキュリティ機能を紹介した。
「IE7では、フィッシングサイトからユーザーを保護するフィッシングフィルタや不正プログラムのダウンロードを防止するActiveX Opt-in、悪意のあるソフトウェアの実行を防止する保護モードなどを採用している。このうち、保護モードはWindows Vista専用の機能となるが、フィッシングフィルタとActiveX Opt-inは、Windows XP SP2用IE7でも利用できる」と説明。デモンストレーションでは、開発中のIE7を用いてそれぞれの機能を紹介した。
|
Internet Explorer 7のセキュリティ機能
|
|
|
ActiveXがインストールされる場合に表示される青色の警告バー
|
警告を無視して操作を続行しても、仮想化されたスタートアップフォルダに書き込まれるため、起動されない
|
|
|
フィッシングサイトの恐れのあるWebサイトにアクセスすると、アドレスバーが黄色になり、危険であると警告
|
フィッシングサイトと判断されたWebサイトの場合、アドレスバーは赤色になり、該当ページは表示されずに警告メッセージが表示される
|
また、不正アクセス防止のひとつの手段としてスマートカードを利用したセキュリティにも注目していると述べ、証明管理とIDの保証用ソフトメーカーの米Alacris社を9月に買収したことを紹介した。「Alacrisのテクノロジーの特長は、スマートカードを簡単・効率的にできる点にある」と説明。「これまでスマートカードを用いたセキュリティでは、管理者側でカードの再発行などに膨大な手間がかかっていたが、Alacrisの製品ではユーザー自身でスマートカードの設定ができる」と、管理者の負担軽減につながるテクノロジーであるとした。国内での提供予定は未定で、「まずはベータ版として提供する予定」とした。
「規範的なガイダンス」は、セキュリティへの対応方法などさまざまな情報を提供することで、ユーザーのセキュリティを維持するというもの。同社では600以上のガイダンスを提供しており、ナッシュ氏自身も毎月情報を発信しているという。
「業界とのパートナーシップ」は、政府機関や業界団体と共同でセキュリティ対策を進めている点を指している。「1社だけでセキュリティ対策をおこなうのではなく、業界との協力が重要。法の執行当局にいち早く情報を提供するなど、迅速に対応している」と、業界との関係が重要であると強調した。
ナッシュ氏は同社が注力するこれら3つの取り組みについて「これらはバランスが取れており、成功するためには3つとも必要」と、それぞれに対し今後も積極的に取り組んでいくとした。最後にナッシュ氏は、「Microsoftはこれらのセキュリティ対策を実行しており、プラットフォームにはこれらの成果を包括的に取り込み、適切な機能を備えている。こうした点を認知し採用していただきたい」と、同社製品の安全性を強調して講演を締めくくった。
関連情報
■URL
マイクロソフト
http://www.microsoft.com/japan/
( 福浦一広 )
2005/10/04 21:23
- ページの先頭へ-
|