Internet Watch logo
記事検索
最新ニュース

マイクロソフト、次の課題は「エンドツーエンドでの信頼」


マイクロソフトチーフセキュリティアドバイザーの高橋正和氏
 マイクロソフトは27日、セキュリティ対策の進展状況に関する説明会を開催し、チーフセキュリティアドバイザーの高橋正和氏が日本におけるマルウェア対策の取り組みや、マイクロソフトが今後のセキュリティ対策の課題として掲げる「End to End Trust」などについての説明を行った。

 高橋氏は、マイクロソフトが2002年から取り組んでいる「Trustworthy Computing」(信頼できるコンピュータ環境)における、セキュリティ分野での取り組みを紹介。製品設計の段階からセキュリティを考慮する「セキュリティデベロップメントライフサイクル(SDL)」の成果として、SDLを全面的に取り入れたWindows Vistaでは、Windows XPと比較して、OSリリース後の1年間に公表された脆弱性の数がおよそ半分になったことなどを挙げた。


製品出荷後1年で発見された脆弱性の数は、Windows VistaはWindows XPから半減 世界各国のマルウェア検出率を色分けした地図。日本が最も検出率が低い(画像中の数値は1000台あたりの検出台数)

 また、マイクロソフトのマルウェアプロテクションセンターによる調査では、日本が最もマルウェアの検出率が低い国となっているというデータを紹介。この結果は、日本が独自の取り組みとして実施しているマルウェア対策の効果も大きいとして、Telecom-ISAC JapanやJPCERT/CCと共同で行っている「サイバークリーンセンター(CCC)」の取り組みを説明した。

 CCCでは、ボットに感染していると思われるユーザーに対しての通知、駆除ツールの提供などを活動として行っている。ボットのプログラムは一般的に他のマシンにもボットを感染させようとする動作をするため、これをネットワーク上に設置した「ハニーポット」と呼ばれる多数のPCで検知。IPアドレスからISPを割り出し、ISPを介して感染したユーザーに対してメールを送り、ボットを駆除するためのツールを提供するサイトなどへの誘導を行っている。

 Telecom-ISAC Japanの有村浩一氏は、CCCの活動には70社のISPと7社のウイルス対策ベンダーが参加しており、2008年9月には1万2144通の注意喚起メールをユーザーに送信するとともに、未知の検体も326体収集してウイルス対策ベンダーと情報を共有するなどの実績を上げていると説明。こうした活動の効果もあって、国内の推定感染者数は2005年の40〜50万人から2008年には30万人に、推定感染率は2005年の2〜2.5%から2008年には1%に減っているとした。


CCCの取り組み。ISPやウイルス対策ベンダーの協力により、ボットに感染していると思われるユーザーに注意喚起メールを送付する 9月には1万2144通の注意喚起メールを送っており、未知の検体も326体収集した

 高橋氏は、こうした取り組みが成果を上げている一方で、「製品の脆弱性が無くなっても解決しない問題が増えている」と説明。マルウェアや脆弱性の対策といった従来のセキュリティ問題から、オンライン詐欺やソーシャルエンジニアリング、プライバシーの保護といった分野までを含む「広義のセキュリティ」への対応がITベンダーにも求められているとした。

 こうした問題への今後の取り組みとして、マイクロソフトでは「End to End Trust」という方針を掲げている。SDLや多層防御といった基盤技術の上に、「信頼できるハードウェア」「信頼できるソフトウェア」「信頼できる人物」「信頼できるデータ」といった複数の信頼に関する技術を積み上げていき、認証やアクセス制御に関する「コアセキュリティコンポーネント」を組み合わせることで、システマティックに「信頼」を構築していこうという概念だ。

 高橋氏は、「これらの取り組みは、技術的には既にあるもので構築できるが、社会的要請や経済的な影響、政治や立法とも関わってくる。たとえば、オンラインの追跡性を高めれば犯罪者を捕まえることは容易になるだろうが、そんなに簡単に個人を特定できる仕組みを作っていいのかという話になる」として、取り組みは従来のセキュリティ対策以上に様々なパートナーとの協力が必要になると説明。マイクロソフトの役割としては信頼できる製品を開発していくことが最も重要なことに変わりはないが、これまで以上に開発者へのガイダンスやユーザーへの啓発活動、政府機関や業界団体とのパートナーシップなどの取り組みを進めていきたいとした。


マルウェア対策や脆弱性対策など「教義のセキュリティ」から、プライバシーやモラルなど「広義のセキュリティ」への対応も求められるように 信頼をシステマティックに積み上げていくことで、エンドツーエンドでの信頼の構築を目指す

関連情報

URL
  マイクロソフト
  http://www.microsoft.com/japan/

関連記事
MSがプライバシー保護方針を説明、技術とコントロールを利用者に提供(2008/11/12)


( 三柳英樹 )
2008/11/27 20:47

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2008 Impress Watch Corporation, an Impress Group company. All rights reserved.