|
米Microsoftのスコット・チャーニー氏
|
米Microsoftのスコット・チャーニー氏がこのほど来日。今回の来日目的や同社のセキュリティに対する取り組みなどについて語った。
スコット・チャーニー氏は、同社が取り組むTrustworthy Computingの最高責任者で、Microsoftに入社するまでは、プライスウォーター・ハウスクーパーズに勤務。それ以前は米国司法省の犯罪検察部門で、コンピュータ販売と知的財産権を担当する連邦検察官として、91年から99年にかけて米国で発生した主なハッカー事件の多くの解決に貢献したという。
今回の来日では、内閣、経済産業省、総務省、警察庁などの日本の政府機関と接触したことを明らかにしており、MicrosoftのTrustworthy Computingに関する説明とともに、同社が全世界の政府機関に提供しているGSP(ガバメント・セキュリティ・プログラム)の参加などについての説明が目的だったと見られる。
GSPは、Microsoftの主要製品に関するソースコードの開示や、ツールの提供やトレーニング、検証などの技術的支援を行うもので、「すでに50を超える各国政府にソースコードを開示してきた」という。先頃、同制度を拡大し、Office製品のソースコード開示も行うことも発表している。
日本の政府は、正式にGSPに参加しておらず、チャーニー氏も、「これまで日本政府がGSPに参加しない理由がわからない。なぜ参加しないのかは日本の政府に聞いてほしい」と前置きし、「今回の来日でも、政府関係者、有識者とOffice製品のソースコードの開示について説明をしたが、GSPへの参加は日本政府にも利益をもたらすはずだ」とコメントした。
チャーニー氏によると、Microsoftは、4つの観点から政府のセキュリティ対策に協力できると話す。
ひとつは、スパイウェアやフィッシングといった不正行為をはじめ、政府の重要インフラに対する防御に関する協力関係、2つめがHotmailなどMicrosoftが提供するネットワークサービスが悪用された場合など、個人情報保護に準拠した形での協力、3つめにはファイアウォールの技術的情報や暗号キーがどういった形で格納されているのかという高度な技術情報の提供、そして、最後にサーバー犯罪に対する情報提供などを促す報奨金制度の実施だ。
「政府や企業の活動はネットワークに依存しているが、それらは民間が開発、提供したものであり、官民が密に連携することが必要。また、国家の安全保障に向けて、省庁間の連携をどう調整していくかも政府に課せられた問題だろう。さらに、児童ポルノや麻薬の密売といったあらゆる犯罪でコンピュータが関わってきている。法制度との関係も考えることが必要で、これは、いまや全世界で共通の課題だといえる」とした。
一方、Windows XP SP2についても触れ、「現時点ではダウンロードの件数が少ないという指摘があるが、これはダウンロードにはかなり時間がかかるため、コンシューマユーザーのダウンロードが集中しないように、コントロールしているため」と説明。「すべてのユーザーへの普及にはかなりの時間がかかる。日本では、10月1日から郵便局でCD-ROMを無償配布するので、それも利用してほしい」とした。
また、「毎月第2火曜日(日本では水曜日)にパッチを定期的に公開しているが、これが何を対象にしたパッチなのか、あるいはどんな影響があるのかが事前にわからないまま、ユーザーサイドで更新作業が行われることで、大手企業などでは、既存システムや基幹システムに影響を及ぼす可能性があるとの指摘があった。これに対応するために、一部企業との間でNDA(情報秘密保持契約)を交わして、公開の5日前にどういうものが出てくるのか、というハイレベルの情報提供を開始した。これも企業や政府にとっては、基幹システムの安定稼働に効果を及ぼす」と語った。
さらに、セキュリティホール(脆弱性)の公開に関しては、「パッチが完成した段階で、脆弱性を発表するという形にしている。そうでなければ、ユーザーを保護できないままに、犯罪人に情報を提供することにつながる。全ユーザーに対して、平等に安全を提供することを前提にしている」とし、セキュリティに対する基本的な考え方を示した。
一方、チャーニー氏は、Microsoftが、セキュリティ開発ライフサイクル制度を導入していることを改めて強調。「開発手法は数年前と大きく変わっており、設計、開発、テストのすべての工程において、セキュリティをテーマとした作業が組み込まれている。次期WindowsであるLonghornは、開発の初期段階からセキュリティ開発ライフサイクルを導入した初の製品になる」とした。
■ URL
米Microsoft
http://www.microsoft.com/
マイクロソフト株式会社
http://www.microsoft.com/japan/
■ 関連記事
・ 米Microsoft、政府向けプログラムを拡張-Officeのソースコード開示へ(2004/09/21)
( 大河原 克行 )
2004/09/27 10:28
|