Enterprise Watch
最新ニュース

マイクロソフト、脆弱性報告の日本語受付窓口を開設

認定資格制度「MCA」にセキュリティ科目も追加

 マイクロソフト株式会社は2月25日、同社製品の脆弱性報告を日本語で受け付ける窓口となるWebサイトを開設した。またユーザーを対象にした同社の認定資格制度「Microsoft Certified Associate(以下、MCA)」に4月よりセキュリティ科目を追加することもあわせて発表された。


マイクロソフトのセキュリティに対する考え方

マイクロソフト株式会社 執行役 チーフセキュリティアドバイザー 東 貴彦氏
 同社執行役で、2月よりチーフセキュリティアドバイザー(以下、CSA)に就任した東 貴彦氏は、脆弱性について「これまではわかりにくい言葉でその中味が伝わっていなかったと反省している」と述べ、「設計と違った機能や性能を指す、いわゆる“欠陥”ではなく、設計の時点でわからなかった弱点を、製品出荷後に悪意のある人が悪意のある方法で見つけるもの」とあらためて定義。「IT技術の進歩が激しい現在にはかなりの程度存在してしまうもの」とし、「次々に対応していき、ユーザーには最適な環境を保ってもらうよう努力する」とした。また、わかりにくいとされる脆弱性の緊急度について、「判断基準は、悪意を持った攻撃がしやすいかどうか」とした。

 また脆弱性の修正プログラムについては、「必ず脆弱性情報とセットで提供する」と述べた。そして「Blasterワーム以降、即応する形で次々に修正プログラムを提供した結果、自社開発のアプリケーションとの整合性検証の必要がある企業ユーザーからお叱りを受けた」とし、「2003年10月から、緊急度の高いものを例外として月1回の配布に切り替えた」と語った。

 次に、修正プログラム配布前にその脆弱点を攻撃するワームが広まる、いわゆる“ゼロデイアタック”のリスクについて同氏は「全世界のセキュリティ機関から情報を頂いているが、なかには情報とともにエクスプロイトコードを提供してしまうところもある。これをウイルス作成に悪用されるとゼロデイアタックのリスクが増す」と述べ、「間口を広げれば、それだけ危険性も大きくなる」ため、対応に苦慮しているとした。

 そして、これまでは英語のみだった脆弱性報告窓口の日本語版の開設については、「国内のセキュリティ調査機関や専門家との緊密に関係して、国内の調査対応がすばやく行える。また米国のMicrosoft Security Responce Center(MSRC)との連携も緊密になる」と述べた。受付は24時間行われ、「日本時間でコミュニケーションできるほか、英語で国外にレポートする際の抵抗を軽減するのも、メリットになる」とした。


一般/ビジネスユーザー向けの施策

 同社では一般ユーザー向けのセキュリティ施策として「Protect Your PC」キャンペーンを現在も継続して実施している。同氏は「メッセージは、ファイアウォールの利用、Windows Updateの実施、アンチウイルスソフトの利用の3つと単純」とし、成果として「Windows Updateの利用率が高まった」ことを挙げた。しかし「現状でもまだ不十分」とし、「デフォルト設定だと能動的なアクションが必要なため、ぜひともAuto Updateの設定をお願いしたい」と述べ、「ブロードバンドユーザーばかりでなく、ダイアルアップでもさほどに不自由なく適用できる」と語った。現在ベータ版が配布されており、現時点では今上半期中の6月までにリリースが予定されているWindows XP SP2ではこの設定が「デフォルトで有効になる」という。

 またWindows UpdateについてはOffice Updateと統合され、さらにMSDLを含むSQL Server、Exchange Serverの修正プログラムも適用できる「Microsoft Update」に今後統合される予定。

 企業ユーザー向けには、3月8日に開催されるイベント「Microsoft Security Summit 2004」を皮切りとして、国内47都道府県の会場で2万人以上を対象にしたセキュリティトレーニング「Secure System Training Tour 2004」が実施される。

 このトレーニングでは、企業の情報システム担当者などを対象に、セキュリティ修正プログラムの展開方法やサーバー、クライアントの設定方法を中心に3~4月にかけて行われる「IT Pro #1」、ネットワークセキュリティの実装、アプリケーションやサーバー、クライアントでのセキュリティ対策や、ポリシーベースのセキュリティ戦略適用について触れられる上級者向けの「IT Pro #2」、セキュアなコードの記述、.NETフレームワークでのセキュリティの実装などの内容となる開発者向けの「Developer」の3つのコースが順次展開される。

 またあわせて発表された資格認定制度の「MCAセキュリティ」について同氏は、「細かい技術知識に限定しないで、総合的な情報セキュリティリテラシーを習得できるもの」とし、「ほかのMCAとあわせて、企業の新人研修、大学での採用を目指している」と述べた。

 また同社ではリサーチを行った結果、「一般ユーザーは、多少でもPCに詳しい周りにいるユーザーから教わることが多い」点に注目、「こうしたコミュニティで、特に指導する立場の人へのサポートに、今後力を入れたい」とした。



URL
  マイクロソフト株式会社
  http://www.microsoft.com/japan/
  プレスリリース(脆弱性報告窓口)
  http://www.microsoft.com/japan/presspass/detail.aspx?newsid=1847
  プレスリリース(MCAセキュリティ)
  http://www.microsoft.com/japan/presspass/detail.aspx?newsid=1846
  脆弱性報告窓口
  http://www.microsoft.com/japan/technet/security/bulletin/alertus.asp

関連記事
  ・ マイクロソフト、技術者を対象としたセキュリティトレーニングを全国で開催(2004/02/02)


( 岩崎 宰守 )
2004/02/25 18:26

Enterprise Watch ホームページ
Copyright (c) 2004 Impress Corporation All rights reserved.