Enterprise Watch
最新ニュース

マイクロソフト東氏「何層もの防壁で攻撃に耐える多層防御の考えが必要」

~Security Summit 2004

 マイクロソフト株式会社は3月8日、主に企業のIT管理者向けとなるセキュリティイベント「Security Summit 2004」をパシフィコ横浜にて開催し、「マイクロソフトのセキュリティに関する取り組みと今後の展望」をテーマに、マイクロソフト株式会社 執行役 最高セキュリティ責任者でチーフセキュリティアドバイザーの東 貴彦氏が講演を行った。


Blasterワームが象徴するセキュリティ環境の変化

マイクロソフト株式会社 執行役 チーフセキュリティアドバイザー 最高セキュリティ責任者 東 貴彦氏
 まず同氏は、2003年8月のBlasterワーム発生時に、9割以上の企業ユーザーがファイアウォール導入していたにもかかわらず、持ち込みやリモートアクセスのクライアントを中心に感染が拡大していったことから、ファイアウォールやアンチウイルスといったこれまでの限定的なシステムセキュリティへの方策だけでは、現在の進化した脅威への対策は不完全との見解を示した。

 このとき同社でも、TV・新聞・雑誌・交通広告など多様なメディアで情報を告知し、対策CD-ROM配布なども行ったが、「内容がうまく伝わらないほか、作業が的確なタイミングでなされず、また対策PCの数が少ないと効果が現れない」など、対策の徹底に大きな課題を残したという。また脆弱性発見からウイルス出現までの短期化、攻撃の巧妙化といった「セキュリティを取り巻く環境の変化を認識していなかったと反省している」とした。同社ではBrasterワーム発生時にはパッチ提供期間を終えていたWindows NT4.0 SP6a/2000 SP2のサポート期間を2004年6月まで延長している。


ユーザーリテラシーを含む人材教育の重要性

 続いて経済産業省 情報システム部の小紫氏が登壇し、ネットワーク接続された地方の50拠点を含め、サーバー500台、クライアント7,000台のPCが稼動している同省でのセキュリティ対策の問題点について語った。同氏はセキュリティに対する重要性の認識について、「役所の出先機関でPC7台がウイルス感染した件までがニュースとして取り上げられるなど、メディアにより社会の意識はやや過敏なほど」とし、こうした環境下では、「結果責任が問われる情報システム部門の精神的負担が高まっている」と述べた。

 また3月1日のNetsky.Dウイルス発生時において、「19時過ぎから感染メールが届き始めたが、アンチウイルスの定義ファイル更新は22時だった」とし、「無防備だった2時間強の間に、2,000通以上のメールが届いた」ことを問題視した。

 またセキュリティの維持のため、同省でも数々の施策を行っているが、20分以上離席時にIDとパスワードの再入力を要するスクリーンロックや、システムドライブへのユーザーアクセスの禁止による持ち込みアプリケーションの使用禁止などの対策を実施したところ、当初は多くのクレームが寄せられたという。そして今後の方針として「大事なのは、人材を育てること」と述べ、ユーザーのリテラシー向上に加え、外部からの専門家採用の難しい官公庁ならではの悩みとして、「自前での人材育成」を挙げた。

 これを受けた東氏は、「人材のスキルセットへの課題は大きなものととらえている」とした。同社では3月9日より6月30日まで、全国47都道府県で2万人以上を対象に300回以上の開催が予定されているセキュリティトレーニング「SECURE SYSTEM Training Tour 2004」を行う。

 このトレーニングでは、企業のIT担当者などを対象に3つのコースが開かれる。3~4月には、セキュリティ修正プログラムの展開方法やサーバー、クライアントの設定方法を中心にした「IT Pro #1」、4~5月には、ネットワークセキュリティの実装、アプリケーションやサーバー、クライアントでのセキュリティ対策や、ポリシーベースのセキュリティ戦略適用について触れられる上級者向けの「IT Pro #2」、5~6月には開発者向けに、セキュアなコードの記述、.NETフレームワークでのセキュリティの実装などを内容とした「Developer」が順次展開される。 同氏は「すでに12000人以上が申し込みを済ませ、現在スケジュールを拡張している」と述べた。


人、技術、プロセスによる多層防御の考えが重要

多層防御の考え方。これをポリシーや教育、物理的な要素などが取り巻く形となる
 そして同氏は「ファイアウォールやアンチウイルス、セキュリティホール対策といった限定的な対策では限界がある」とし、「攻撃そのものは避けられない。たとえ防壁を破られても何層にも築くことで攻撃に耐える設計を行う多層防御の考えに基づいた多角的、多層的確保の必要」を説いた。

 具体的には、主にネットワーク境界でなされていたファイアウォールをはじめとした対策のほか、IPSecや無線LANセキュリティといった内部ネットワーク層、パッチ対策や設定を含めたOSやネットワークでの認証や侵入検知を行うホストレベル、利用時のユーザー認証やセキュアなコーディングといったアプリケーションレベル、データレベルでの暗号化などのPC関連の各層のほか、セキュリティポリシーやユーザー教育、さらに警備や入退室管理といった物理的なものまでを指している。

 こうした対策を行う上での要素として「人や組織、技術、プロセス」の3つを挙げた同氏は、「今後の対策ガイドとして、これまでのような技術や製品に対するものだけでなく、こうした要素を踏まえたものを提供していく」とした。


パッチ適用にまつわる施策の改善点

 次に東氏は、現在企業担当者から同社に多く寄せられている要望について、「パッチ提供頻度、対策情報の提供、品質と適用プロセス、製品の脆弱性」の4つの項目に分類、それぞれに対しての施策を述べた。

 提供頻度については、従来は毎週発行していたセキュリティ修正パッチのスケジュールを「企業のIT管理者などによる展開の時間を考え」、毎月第二水曜の月次発行へ変更するなどの改善策を実施している。また同氏は2月3日に行われた「MS04-004」のような月次発行以外の例外について、「実際の攻撃行動の有無や可能性の高まりを受けて、緊急の場合かを判断している」とした。

 対策情報の提供については、TechNetでの詳細なガイドを行う「セキュリティ警告サービス」とトレーニングを提供する。このほかパッチをオフラインで提供する「TechNetサブスクリプションCD」の配布を行うとのことだ。

 パッチの適用プロセスについては、「企業によっては数万台のクライアントPCを抱え、そのパッチ適用実施と現状把握には多大な労力を要する。また特に自社開発のアプリケーションなどを利用している場合に、パッチ適用前の動作検証が時間がかかるといった問題が寄せられている」とし、適用時の複雑性を改善するために「これまで8種類あった適用プロセスを2つに統合し、検証期間短縮化のためにロールバック機能を全パッチに実装する」という。また「相当数存在するするナローバンドユーザーのため、パッチ容量を削減し、差分パッチ技術の導入を行う」ほか、「システムのダウンタイムを短縮化するため、リブート要求も継続的に削減していく」とのこと。

 さらにパッチ適用状況を管理するツールとして、未適用パッチ検知などセキュリティ構成を監視、管理する分析ツール「Microsoft Baseline Security Analyzer」をすでに提供しているほか、パッチ展開ツール「Software Update Service 2.0」を6月までに無償提供する。また資産管理も使える有償ツール「Systems Management Server」なども提供する。

 パッチや製品の品質については、セキュリティを考慮したアーキテクチャによる機能実装と、コード内の脆弱性を排除する「Secure By Design」、攻撃対象削減のため、利用しないコンポーネントの削減と機能の無効化を行うほか、権限を必要最小限に絞る「Secure By Default」、システムへの展開とその後の運用についての「Secure By Deployment」、関連コミュニティや社外との協調を図る「Communication」の4つからなる「SD3+C」に基づいた製品開発を継続的に行い、これに基づく初の製品となるWindows Server 2003では「製品出荷後の脆弱性がWindows 2000と比較して減少している」と述べた。


今後のセキュリティロードマップ

今後のセキュリティ関連ロードマップ
 最後に今後のセキュリティロードマップについて、2004年上半期には、上記トレーニングツアーのほか、Windows XP SP2、パッチ展開ツールSUS 2.0の提供を行うほか、Windows UpdateとOffice Updateを統合し、SQL Server、Exchange Serverの修正プログラムも提供するMicrosoft Updateを開始するとした。

 Windows Server 2003 SP1については当初予定を変更し、またISA Server 2004も下半期に提供する。そして将来的には、ウイルス感染PCや脆弱性存在PCをネットワーク内に受け入れた上でセグメント化し対策を行うイメージのリモートクライアントの検疫機能や、Exchange Serverでスパムメール対策を行う「Exchange Perimeter Service」を提供していく。

 最後に同氏は、「セキュリティ」、「プライバシー」、「信頼性」、「誠実なビジネス」を4つの柱として2002年1月より同社が掲げる「Trustworthy Computing」について触れた。これにより同社では、「自社製品に対応するだけではなく、社会的なコンセンサスと協力体制を築きながら、社会インフラとして信頼できるコンピューティング環境を目指していく」とのことだ。



URL
  マイクロソフト株式会社
  http://www.microsoft.com/japan/
  Security Summit 2004
  http://www.microsoft.com/japan/events/security/
  SECURE SYSTEM Training Tour 2004
  http://www.event-info.jp/events/sstt2004/

関連記事
  ・ マイクロソフト、脆弱性報告の日本語受付窓口を開設(2004/02/25)
  ・ マイクロソフト、技術者を対象としたセキュリティトレーニングを全国で開催(2004/02/02)
  ・ マイクロソフト奥天氏「セキュアな端末のみアクセスできるWindows Server 2003 SP1を2004年上半期に提供」(2003/11/12)


( 岩崎 宰守 )
2004/03/09 00:00

Enterprise Watch ホームページ
Copyright (c) 2004 Impress Corporation All rights reserved.