 |
 |
|
|
| 最新ニュース |
|
|
|
|
|
|
||||||||||||
|
||||||||||||
|
||||||||||||
|
マイクロソフトがセキュリティ戦略を説明、SDLの成果をアピール |
||||||||||||
|
||||||||||||
|
|
||||||||||||
|
||||||||||||
|
||||||||||||
|
||||||||||||
|
||||||||||||
マイクロソフトでは、5年ほど前から「Trustworthy Computing(信頼できるコンピューティング)」と題した取り組みを行っており、その一環としてセキュリティ分野でもさまざまな強化策を打ち出してきた。 このうち技術面の取り組みとして、ファティ氏は「セキュリティ開発ライフサイクル(SDL)」を導入している点を説明。「開発の初期段階である要件定義の段階からセキュリティ専門家を投入して、セキュリティに注意を払って開発を進めている。ペネトレーションテストによる脆弱性チェックも実施しているし、製品発売後には、新たに見つかった脆弱性がなぜ事前に見つからなかったのかを検討してツールを改善。すべてのソース上であらためて走らせて、問題がないかどうかを確認している」と、その取り組みを話す。 SDLについては、マイクロソフトはことあることに成果を強調しており、SDL導入後に開発されたWindows Server 2003では、Windows 2000と比べて脆弱性が半分以下になったとしていた。今回のWindows Vistaについても、「製品リリース後の最初の90日に発見された脆弱性は1件だけで、ほかのOSと比べて非常に数が少ない」(ファティ氏)として、その成果を強調。「さらにSQL Server 2005では、1年間に発見された脆弱性はゼロ。アナリストからもSDLは評価されている」と有効性を誇っている。 パッチ提供までの時間に対しても、「あるアナリストは、当社がもっとも問題を早く改修したと言っている」(ファティ氏)とするが、「当社が抱いている懸念は、問題修正までの時間が長くかかることではなく、テストに要する時間が長いこと。問題が発見された時にそれが特定の製品だけでなく、ほかの製品にもないのかどうかを入念にチェックする必要がある。また、ほかのアプリケーションが壊れないかということや互換性の確認にもっとも長い時間を費やしている」とも語った。 なお脆弱性への対応に対してファティ氏は、「Defense-in-Depth(多層防御)」のコンセプトにより、階層化することで攻撃に対処することも重要だと説明する。最新の修正パッチを適用することももちろん重要だが、ウイルス対策製品やファイアウォールなどをあわせて利用することにより、「ウイルスが入ってきても影響が出るまでに時間がかかる、そうした仕組みの導入が大切だ」(ファティ氏)と述べた。 技術面以外では、「当社では、教育面やパートナーシップにも力を入れている」(ファティ氏)と話す。教育面での取り組みとして、SDLやホワイトペーパーの公開などを行っているとしたほか、パートナーシップの面では、「業界だけでなく各国の政府・省庁とセキュリティ情報を共有し、ウイルスの拡散を防止できるようにしている。あるウイルスの流行時には、FBIや各国政府と協力することにより犯人逮捕につなげた」と述べ、総合的な対策でセキュリティプラットフォームの確立を目指していると説明している。 ■ URL マイクロソフト株式会社 http://www.microsoft.com/japan/ ■ 関連記事 ・ 「脆弱性対策はアプリケーション開発から」、マイクロソフトが開発者向け施策(2005/12/08)
( 石井 一志 )
|
