 |
|
|
■URL
http://www.microsoft.com/
 |
| 「Craigはとても真面目な人間なので、どうしても説明が長く詳しくなってしまう」として、古川氏が「ポイントを要約」してくれる場面も。実はそこで使われた表現が「Security by Design」「Security by Default」「Security by Deployment」、すなわちセキュリティ実現に向けた3つの“D”=「SBD」である |
Microsoftは今年に入り、セキュリティやプライバシーの問題に対する全社的施策として「Trustworthy Computing(信頼できるコンピューティング)」を発表した。今回、そのとりまとめを手がけた同社アドバンスド・ストラテジー&ポリシー担当シニアバイスプレジデント兼CTOのCraig Mundie氏が来日、東京都内のホテルにおいて7日、報道関係者を集めて説明会が行なわれた。
Trustworthy Computingとは、コンピューティングが「電話や電力供給と同等の信頼性を獲得する」ように、Microsoftはもちろん業界全体、社会全体として取り組んでいこうという提言である。その構成要素として“可用性(Availability)”“適合性(Suitability)”“完全性(Integrity)”“セキュリティ(Security)”“個人情報保護(Privacy)”などの項目が挙げられているが、最重要課題となるのがセキュリティと個人情報保護である(したがって、セキュリティだけがTrustworthy Computingのすべてではないとしている)。
Mundie氏は、この課題実現へ向けた計画を短期/中期/長期の3ステップに分け、まず短期計画で製品のデザインや実装技術、セキュリティポリシーを改善、さらに中期計画で複雑化するシステム管理の自動化を図ると説明する。長期計画は5~10年後を視野に入れた基礎研究で、OSに止まらず、アーキテクチャやパラダイムを見直すという次元から検討することになるという。
さて、同社製品はこのところ毎週のようにセキュリティホールが報告されているだけに、中長期的な計画はさておき、ユーザーにとってもっとも気になるのは短期計画の具体的な取り組みである。これについてMundie氏は、3つの方法があると説明する。
まず1つめが、製品の“Design”の改善だ。製品開発段階でバグによる脆弱性をなくし、アタックに対するレベルアップを図る。これにはエンジニアのセキュリティ教育も含まれ、すでに2月には同社の8,000人以上に及ぶWindowsの全開発者に対して、一時開発をストップさせて研修を施したという例も紹介された。
2つめが、製品を初期状態で利用する際のパスワードやアクセス権限などの設定を、セキュリティ面を考慮した状態にするという“Default”の改善。3つめが“Deployment”である。パッチの提供方法やバグフィックスの手段の改善を意味しており、年に数回のサービスパックだけでなく、ウェブによるアップデートや新しい製品については自動ダウンロードも取り入れていく方針だ。これは、中期計画に含まれる自動修復機能の提供にもつながっていく。
説明会には、同社アドバンスド・ストラテジー&ポリシー日本担当バイスプレジデントの古川享氏も同席。「Microsoftがこれまで以上に製品開発に真摯に取り組んでいくのはもちろんだが、社会全体(のセキュリティに対する意識)も変えていかなければならない」として、セキュリティホールの報道だけでなく、今回の提言を周知するためにもマスコミには協力してもらいたいと強調した。また、Mundie氏はこの点に関連して「サイバースペースでも“公衆衛生”を考えなければならない」と述べており、個々のユーザーがコンピューティングのセキュリティについて学ぶことが不可欠な時代になってきていることを指摘している。
(2002/3/7)
[Reported by nagasawa@impress.co.jp]