Enterprise Watch
最新ニュース

マイクロソフト高沢氏、「セキュリティ向上で、信頼できるコンピューティング環境を」

~セキュリティ・ソリューション フォーラム in Security Solution 2003 講演~

マイクロソフト株式会社 Windows Server製品部 部長 高沢冬樹氏
 東京ビッグサイトで開催されている「セキュリティ・ソリューション フォーラム in Security Solution 2003」において10月22日、マイクロソフト株式会社のWindows Server製品部 部長の高沢冬樹氏が「マイクロソフトが目指す信頼できるコンピューティング環境 ~Protect Your System~」と題した講演を行った。

 高沢氏によれば、同社では「信頼できるコンピューティング」を実現するために、4つを柱としている。それは、1)個人情報が確実に管理、運用できる「プライバシー」、2)止まるということを心配せずに使い続けることのできる、電気やガスのような社会インフラと同等の「信頼性」、3)できる限り高品質な製品を提供し、サポートに対しても求められているレベルで対応できる「誠実なビジネス」、そして4)「セキュリティ」である。

 「セキュリティは、安全にシステムを使う上で、もっとも注力されるべきことである」(高沢氏)。実際にマイクロソフトとしても非常に注力している分野であるが、同社が行っているセキュリティ対策の代表的なものとしては、脆弱性に対する対応があげられよう。同社では、外部内部の監査で発見された脆弱性に対する取り組みを、継続して行っているという。


セキュリティ対策の問題点と、その対応

 しかし、セキュリティ対策の問題点として、「当社では基本戦略としてパッチを素早くリリースしてきていたが、現在ではその数が多くなりすぎてしまっている。また、脆弱性を応用した悪意あるコードが出回るまでの期間が以前よりも短くなり、その攻撃方法も、実行ファイルを実行してしまうなどユーザーが介在していたものから、ネットワークに接続しただけで感染してしまうものが登場してきたように、洗練され、その驚異は増してしまったのが現状」(高沢氏)。

 マイクロソフトとしては、技術的にこれらに対応していきたいが、「すぐに解決できる方法は、残念ながらない」(同氏)。そこで、ユーザーから受けたフィードバックを生かした対策をしていくという。

 パッチの品質が低く、適用方法が一貫していないという声に対しては、インストーラーのパターン統合や、差分アップデートによるパッチサイズ圧縮、ホットパッチングも視野に入れたリブートの削減などで対応。

 製品の導入に際した情報が欲しいという要望には、マイクロソフトアーキテクチャガイダンスやホワイトペーパーなどで、どのような形で導入やセットアップ、運用していけばいいのかを技術情報としてリリースするとともに、トレーニングも行っていく。

 パッチが多すぎて最新の状態に保つのが容易でないという指摘には、緊急でないパッチに関しては月次リリース(日本では毎月第2水曜日)とし、煩雑さを軽減する。


脆弱性が「問題にならない」製品を目指して

 そして、「それでもまだマイクロソフト製品には、多くの脆弱性がある」という根本的な問題に対しては、「継続な製品の品質向上」(高沢氏)によって応えていくという。

 では、どういったところを改善していくのだろうか。それは、「シールド技術などにより、既知/未知の脆弱性に対してアタックを受けた場合でも、問題が起きにくくすること」(同氏)だという。

 クライアントでは、ファイアウォールを初期状態で有効にしたり、メールやInstant Messengerの添付ファイルを無効にしたり、悪質なActive Xやスパイウェアを制限して安全なWebブラウジングを可能にしたり、またスタックオーバーランを検知したりする機能を、Windows XPのSP2より段階的に実装する。またサーバーやシステムインフラの部分では、ネットワークに持ち込まれた1台のPCから、ブラスターが拡散するようなことを防ぐため、PCパッチ適用やウイルス対策状況などを事前にチェックし、適切な状況になっていなければネットワークに接続させない仕組みを用意するとしている。

 その上で高沢氏は、「もちろん、製品そのものの品質を上げていくことも継続的に取り組む」とし、開発から販売後のアップデートまで含めて、徹底した対策を行っていくとした。特に、第三者機関にチェックを受けたり、認証を取得したりすることも積極的にしていくとした。「これらの対策により、SPごとに製品のセキュリティを向上させていく」。

 また同氏は、「セキュリティ対策を効果的に行うためには、ユーザーにもお願いしたいことがある」とし、1)自身が使用している環境でウイルス対策ソフトが導入されているのか、パッチが適用されているのかなど、現状把握に努めること、2)セキュリティガイダンスやコンサルティングサービスなどの活用によって、セキュリティプランを策定すること、3)パッチ適用ソリューションなどによるパッチ適用の自動化、4)セキュリティ対策の進んだ、Windows XPやWindows Server 2003など最新のバージョンへのリプレース、をあげた。

 最後に高沢氏は、「会社として最優先事項として取り組んでいるので、ユーザーの皆さんにも積極的にフィードバックをお願いしたい」と述べ、講演を締めくくった。



URL
  マイクロソフト株式会社
  http://www.microsoft.com/japan/
  セキュリティ関連ぺージ
  http://www.microsoft.com/japan/security/
  Security Solution 2003
  http://expo.nikkeibp.co.jp/secu-ex/


( 石井 一志 )
2003/10/22 17:46

Enterprise Watch ホームページ
Copyright (c) 2003 Impress Corporation All rights reserved.