セキュリティリスク管理 VS ソフトウェア開発

文:Larry Dignan(ZDNet.com) 翻訳校正:石橋啓一郎 2008年02月18日 09時40分

  • このエントリーをはてなブックマークに追加

 George OuはVistaの音声認識ソフトウェアの問題を取り上げて、なぜこの問題が1年以上も修正されていないのかと考えている。答えは、リスク管理だ。

 これがGeorgeがVistaの音声認識の欠陥と呼ぶものの説明だ(これが欠陥かどうかについては議論があるとする者もいる)。この項目は1年前に表面化したが、どうやらVista SP1では対処されなかったようだ。Georgeは次のように、この音声認識の脆弱性がより注意を払われるべき理由を説明している。

 私が作成した音声ファイルは、Vistaの音声認識機能を起動し、Windows Explorerを通じてデスクトップ上のすべてのファイルやすべての写真を選択し、Shift+Deleteコマンドを起動して、ごみ箱からは復旧できない形でそれらのファイルを削除した。私はまたインターネットエクスプローラーを開いてTinyURLのアドレスを呼び出し、そこから他の悪意のある実行ファイルにリダイレクトすることもできた。Vistaの音声認識はUACのプロンプトを回避することはできないため(UACがオンになっていればだが)、ユーザー空間へのダメージは限られているが、ユーザー空間でのコード実行が可能なことは依然として深刻な脆弱性だ。

 Georgeはこの音声認識の問題が対処されないことに苛立っている。彼はMicrosoftがこの音声認識の問題を扱わなかったことで、セキュリティの面で「機会を逸した」と主張している。

 リスク管理の観点から見れば、Microsoftがこの音声認識ソフトウェアの問題を扱わなかった理由は理解できる。人生の多くの物事と同じで、何かが起こるまでは問題にならないことがある。これはどういう意味だろうか?MicrosoftはVista SP1で551もの大量のバグを修正した。Georgeの音声認識のセキュリティホールは、比較的少数の人にしか影響がなかったため、明らかにカットされてしまったのだ。もし誰かがこの音声認識の問題を悪用していれば、突然これは問題になっただろう。しかし、まだそれは起こっていない。

 リスク管理は、物事に優先順位をつけ、深刻なセキュリティ問題から資源を割り当てよと命ずる。例えば、テロリストが伝書鳩を使ってニューヨークを攻撃することも不可能ではないだろう。しかしその可能性は低いため、米国の国土安全保障省はこの問題に予算を割り当てることはしない。

 Georgeが強調する音声認識の問題の場合、Microsoftはおそらくこの問題を調べたが、これを使っている人が少ないことに気づいたのだろう。そして、もしUACが有効になっていれば、どちらにせよMicrosoftは安全装置を持っているわけだ。GeorgeはVistaの音声認識の問題が身体障害者に影響を与えると付け加えている。これはおそらく正しいだろう。しかし、それらの人たちが不平を言うまでは、Microsoftは態度を変えないだろう。Microsoftが面倒を見なくてはならない551もの他のバグを持っていることを考えれば、これは(何か悪いことが起こるまでは)優先度の低い問題なのだ。

この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ

  • このエントリーをはてなブックマークに追加
関連キーワード
セキュリティ

関連ホワイトペーパー

SpecialPR