【セキュリティー】

マイクロソフト、セキュリティーについての取り組みを発表
~セキュリティーを強化しないと、マイクロソフトには先が無い

■URL
http://www.microsoft.com/japan/technet/default.asp
http://www.microsoft.com/japan/security/ (セキュリティーポータルサイト)
http://www.microsoft.com/japan/technet/security/tools/tools/mbsahome.asp

 マイクロソフト株式会社は16日、2001年10月に発表されたプログラム「Strategic Technology Protection Program(以下、STPP)」の現状など、同社のセキュリティーに関する取り組みについての説明会を行なった。

 今回説明されたのは、マイクロソフトが現在最優先事項としているポリシー「Trustworthy Computing(信頼できるコンピューティング)」や、この「Trustworthy Computing」で提唱されたビジョンに基づいて実施されている「STPP」など、同社のセキュリティーに対する今後の取り組みについて。

●コンピューター社会のあるべき姿を示した「Trustworthy Computing」

 「Trustworthy Computing」は、2002年1月に米MicrosoftのBill Gates会長自らによって提唱された「今後のコンピューター社会のあるべき姿」を示したビジョン。

 マイクロソフト製品マーケティング本部シニアプロダクトマネージャの古川 勝也氏によると「インターネットを利用したコンピューティング環境が、水道や電気といった一般社会のインフラと同様に安全に安心して利用できるようにするもの」とのこと。

 現在同社では、この「Trustworthy Computing」に基づいたコンピューターの信頼性獲得へのマトリクスとして、「製品への120通りの考察の導入」や「セキュリティーの高いコードの開発」など、さまざまな取り組みを行なっているという。

 このマトリクスの中でも、信頼性獲得のために必須事項とされているのが「セキュリティー」と「個人情報保護」であり、この実現へのステップとしてセキュリティーポリシーの改善や「Windows Update」の自動化、10年単位の視野に立った基礎研究の促進など短・中・長期の計画を発表している。

マイクロソフト株式会社
製品マーケティング本部
Windowsサーバー製品部
高沢 冬樹部長		 マイクロソフト株式会社
製品マーケティング本部
Windowsサーバー製品部
古川 勝也氏		 マイクロソフト アジア リミテッド
プロフェッショナルサポート本部
PSSセキュリティレスポンスチーム
小野寺 匠氏


●全ての人に安心してWindowsを利用してもらうための取り組み「STPP」

 「Trustworthy Computing」に基づいて、全ての人にWindowsを利用してもらうための取り組みとして「STPP」がある。この取り組みを発表した一番の理由は、「CodeRedの影響を受けたユーザーの内、半数以上がパッチをあてていなかったため、その後のNimda発生時に再度被害を受けてしまった」(古川氏)という事実からだ。

 この事例から分かることは、Windows利用ユーザーの多くが「どのパッチが必要か分からない」、「どこにパッチがあるのか分からない」という事実であり、マイクロソフトは更なる情報開示や啓蒙活動の必要性を感じたという。

 このSTPPの一環として、セキュリティーに関するポータルサイトの開設や、セキュリティー関連製品の開発、ウィルス問題に対する無償相談電話サポートの常設(電話番号:0120-69-0196)などを行なっている。特に日本では、パートナーとの連携について独自の取り組みを行なっていくという。

 また、パートナーとの取り組みでは、まずアンチウィルスベンダーとの関係を密接にしており、緊急時の情報交流などを同時に行なえるようなシステムを構築しているという。また、STPPパートナー企業であるISPやハードウェアベンダーなどと月一回程度の意見交換会を設けており、それぞれの視点から寄せられる意見を製品開発に役立てているとのこと。

 なお、STPPで最も重要といえる「ユーザーへの啓蒙活動について」は、“Get Secure”(セキュリティーの確保)“Stay Secure”(セキュリティーの維持)をスローガンに、Windowsのセキュリティーレベルの確保と維持を訴えている。

●製品出荷前に全ての脆弱性を排除する「SWI」

 マイクロソフトは、「Trustworthy Computing」によるもう1つの取り組みとして、「Secure Windows Initiative(以下、SWI)」を提唱している。SWIは、一言でいうと「マイクロソフト製品のセキュリティー向上計画」であり、マイクロソフト製品を強化し、製品出荷前に全ての脆弱性を排除することを目的としたものだ。

 古川氏によると「この目標は最も単純で、最も難しい問題だが、これを行なわなければマイクロソフトに先はないと言ってもいいだろう」とのこと。

 また、この目的を完遂させるために、三つの“SD”を提言している。

1. Secure by Design:「設計によるセキュリティーの向上」
2. Secure by Default:「適切な標準設定によるセキュリティーの向上」
3. Secure by Deploy:「導入、運用段階におけるセキュリティーの向上」

 そして、この具体的な取り組みとして、次の点をあげた。

・全ての開発者などのトレーニングの実施
・製品の安全性が確保されるまで、セキュリティー対策の仕事のみ行なう
・製品設計時からセキュリティー対策を行ない、プログラムやテストの段階でもセキュリティー対策を考えた作業を実行する
・安全性確保のための、自動管理ツールやセキュリティー対策運用ツールの提供

 なお、上記の取り組みは、2月から全社員が実施しており、その成果として2月から3月にかけてセキュリティーパッチを大量に発表したことを挙げていた。

●今後の活動について

「Microsoft Baseline Security Analyzer」のデモ画面。適用されていないパッチには「×」マークが表示される
 マイクロソフトでは近々、セキュリティー関連製品の提供を開始する。提供を予定している製品は、以下の4点となる。

・Windows 2000向け「Service Pack3」は、SWIの成果の1つとして発表される予定で、「Windows XP」や「.NET Server」からの技術を導入する。この技術を導入することで、Windows 2000の仕様を利用したまま内部の安全性を高めることに成功した。夏までに公開予定だという。

・「Security Rollup Package」は、ある程度緊急性を要しないセキュリティーパッチを隔週毎にまとめて提供するものだ。現在SRP#1まで提供されているが、SRP#2に関しては、Service Pack3に吸収される予定となっている。

・マイクロソフト製品の脆弱性をチェックするソフト「Microsoft Baseline Security Analyzer」は、今年1月に公開された「HFNetChk」のGUI版。コマンドラインからの入力が必要だったHFNetChkと比較して、GUI化された点と、OS以外にもIISやIEなどのアプリケーションセキュリティーホールに関してもチェックが行なえる点が特徴だ。なお、4月6日に発表されたバージョン1.0は日本語に対応していないが、夏頃公開予定のバージョン2.0から日本語に対応するという。

・「Microsoft Software Update Services」は、企業内にWindows Update専用サーバーを構築することによって、クライアントマシーンのセキュリティーパッチを管理できるというもの。「重要な更新」や「セキュリティの修正」に対応しており、遠隔地にあるSUSサーバーに対しても管理が可能だ。

 最後に、一番啓蒙活動が必要な初心者向けの情報提供ページとして「セキュリティ・スクエア」を現在製作中であり、「どこを見ればいいのか?」や「何をすればいいのか?」など、基本的な疑問に対しても分かるような情報提供を行なっていく。

◎関連記事
3つの“D”でセキュリティの向上を図る
Microsoft、セキュリティー問題に取り組むためのプログラムを開始

(2002/4/16)

[Reported by otsu-j@impress.co.jp]

ほかの記事はこちらから
INTERNET Watch編集部internet-watch-info@impress.co.jp
Copyright (c) 2002 impress corporation All rights reserved.