Internet Watch logo
記事検索
最新ニュース

Trustworthy Computingは業界全体の課題~Microsoftチャーニー氏会見


米MicrosoftのTrustworthy Computing最高責任者、スコット・チャーニー氏
 マイクロソフトは24日、米MicrosoftのTrustworthy Computing最高責任者を務めるスコット・チャーニー氏による、同社のセキュリティ対策に関する記者説明会を開催した。

 チャーニー氏は、Microsoftが進めるセキュリティ戦略「Trustworthy Computing」(信頼できるコンピューティング)を統括する最高責任者。今回の来日は、内閣官房や警察庁など日本の政府機関と情報交換を行なうとともに、Microsoftの取り組みを説明するのが目的だという。

 チャーニー氏はまず、国家や経済を支える重要インフラもITシステムへの依存度が高まる中、これらを防御することは極めて重要な問題であるとして、官民連携による防御体制の必要性を強調した。Microsoftとしても、2003年1月からは政府機関などを対象にWindowsのソースコードを公開する「Government Security Program(GSP)」を開始し、2004年9月20日にはGSPの開示対象をOfficeにも拡大するなどの取り組みを進めていると述べた。

 GSPは現在50カ国以上の政府が利用しており、プログラムに参加する政府機関に対してはソースコードの閲覧だけでなく、必要とされるツールの提供や、Microsoftの製品開発担当者との意見交換の場などを提供している。現在、日本政府はGSPには参加していないが、チャーニー氏によれば「前向きに検討している」との感触を得ているという。

 重要インフラの保護という点では、Microsoftではインフラを提供する企業に優先的に脆弱性情報を提供するプログラムを検討している。脆弱性情報については、悪用を防ぐためにパッチが準備できるまでは情報を公開しないことが原則としながらも、月例パッチを公開するようになってから、企業などからは事前にどのようなパッチが出るのかわからないと人員が確保できないとの声があり、NDA(機密保持契約)を結んだ企業に対してはパッチ公開の5日前にパッチの対象製品や深刻度といった限定的な情報を公開するプログラムを開始したことを明らかにした。

 チャーニー氏は、製品の設計段階からセキュリティを組み込むことの重要性にも触れ、現在開発中の次期OS「Longhorn」においては、設計段階から各ステップで常にセキュリティの観点からチェックを行なうモデルを採用したと語った。こうしたセキュリティチェックのモデルはWindows Server 2003で初めて取り入れられたものの、設計段階からの採用ではなかったために、最終段階で数多くの脆弱性が発見され、リリース時期にも影響が出たという。しかし、Longhornでは最初の段階からこのモデルを適用しているため、リリース時期への影響はWindows Server 2003よりは少ないだろうとしている。

 また、こうしたセキュリティという観点から開発の仕方を変えていくという方法の重要性は、Microsoftだけでなくオープンソースソフトウェアにも共通するものだと語った。Microsoftも、Trustworthy Computingを進める上で人員の確保には苦労したと述べた上で、オープンソースソフトウェアの場合には、設計段階から開発の各工程でセキュリティをチェックするといった仕組みが整っていないと指摘。その上で、Trustworthy Computingは業界全体の課題であり、オープンソースコミュニティの側もセキュリティという観点からの開発を進めていくことに期待したいと述べた。


関連情報

関連記事
米Microsoftのスティーブ・バルマーCEOがセキュリティについて講演(2004/06/30)
マイクロソフト奥天氏講演
「1度発見した脆弱性は2度と発生しないため、発見数は先細りしていく」(2003/11/12)



( 三柳英樹 )
2004/09/27 12:52

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2004 Impress Corporation All rights reserved.