セキュリティを「対話」で向上させたいマイクロソフト

小山安博 冨田秀継(編集部)

2008-05-29 08:00

ゲイツ氏が提唱した「Trsutworthy Computing」

 Microsoftは2001年からTrsutworthy Computingという取り組みを開始し、セキュリティの強化を続けている。この取り組みによって同社製品のセキュリティは向上しているようだが、「まだやるべきことがある」と同社のGeorge Stathakopoulos氏は話す。Microsoftの現在のセキュリティの取り組みについて同氏に話を聞いた。

 Stathakopoulos氏は、Product Security部門のゼネラルマネージャーで、Trustworthy Computingを統括するScott Charney氏の元で製品のセキュリティに関する責任者を務めている。

 「14年から15年、Microsoftでセキュリティをやってきている」というStathakopoulos氏は、セキュリティ情報の公開やマルウェアへの対応などといった活動を行ってきたそうだ。

 MyDoomやMSBlaster、Nimdaといった大規模な被害をもたらしたワームが登場していた「2001年当時、製品と会社の評判はあまり良くなかった」(Stathakopoulos氏)。そのため製品の作り方や行動を「変えていく必要があった」(同)ことがTrustworthy Computingにつながっていったという。

George Stathakopoulos氏 George Stathakopoulos氏

 製品の作り方に関してはSecure by Design、Secure by Default、Secure by Deployという考え方にもとづくセキュリティ開発ライフサイクル(SDL)を導入するなど、さまざまな取り組みの結果、「ここ3~4年は製品の改善・改良が行われ、製品そのものは良くなった」とStathakopoulos氏は自信をみせる。

 「しかし、セキュリティ脅威が他の分野で出てきた」(同)。その1つとしてStathakopoulos氏は、脆弱性情報と修正パッチを公開してから、それを悪用したエクスプロイトがリリースされるまでの時間が短くなっていることを挙げる。これに対して同社では、Windows XP SP2リリース後に「多層防御」と呼ばれる考え方を導入し、システムの脆弱性にかかわらず、システム全体は防御できる環境を構築しようとしている。

 もう1つの課題としてStathakopoulos氏が挙げるのがソーシャルエンジニアリングの手法でインストールされるマルウェアへの対策だ。仮に脆弱性を排除しても、フィッシング詐欺や興味を引く件名のメールで、マルウェアを手動で実行させようとする攻撃は防ぎにくい。「まだまだエンジニアリング側にも、(こうした問題に対策するために)やるべきことがある。これまでとは違ったレベルから対応しなければ、ネットの信頼性を実現するのが難しい」(Stathakopoulos氏)。

 こうした問題に対処するため、同社はMicrosoft Malware Protection Centerを設置。マルウェアの解析と対応を進めており、現在までに「4億5000万台のPCでマルウェアを駆除してきた」(同)という。国内では政府と連携し、「サイバークリーンセンター」と協力した対策も実施するなど、国と連携しての対策は世界でも日本だけだそうだ。

ユーザー、ベンダー、政府と対話する「End to End Trust」

 こうした対策の成果は「マイクロソフト セキュリティ インテリジェンス レポート」としてまとめられている。現在、第4版(2007年7~12月)がリリースされているところだ。

 同レポートからStathakopoulos氏は、「日本は世界でも安全なエコシステムを持っている」と指摘。世界の平均では、PC123台につき1台の割合でマルウェアが見付かっているが、日本では685台に1台しか発見されていないそうだ。世界でも最も感染率が低いこの数字は、教育啓蒙が進んでいる、パッチの適用率が高い、JPCERT/CCやサイバークリーンセンターなど業界とのパートナーシップといった要因によるのだと語る。

 このレポートでは、SDLの効果も現れてきているとStathakopoulos氏は話す。実際、マルウェアが感染したOSを見てみると、Windows XP SP2は全体の7.2%、Windows Vistaは同2.8%しか感染しておらず、確実に被害は減少してきているという。XPもSPなしが30.6%、SP1が21.5%、SP2が7.2%であることから、サービスパックを導入するだけでも被害は減少する。「最新のSPを適用することが重要だ」とStathakopoulos氏は強調している。

 Windows Vistaは脆弱性の数も感染率も下がってきてはいるのだが、「エクスプロイトや攻撃の数は増えている」(同)のが現状だ。こうした状況に対して「何をするのか考えなければならない」と指摘するStathakopoulos氏は、「ユーザー、カスタマー、企業、すべての利益になるように対話を進めるのが重要だ」と語る。各々が問題を出し合って議論することでよりセキュリティを進化させたい考えだ。

 こうした「対話」という観点から同社が提唱するコンセプトが「End to End Trust」だ。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    警察把握分だけで年間4000件発生、IPA10大脅威の常連「標的型攻撃」を正しく知る用語集

  2. セキュリティ

    まずは“交渉術”を磨くこと!情報セキュリティ担当者の使命を果たすための必須事項とは

  3. セキュリティ

    「2024年版脅威ハンティングレポート」より—アジアでサイバー攻撃の標的になりやすい業界とは?

  4. ビジネスアプリケーション

    Microsoft 365で全てを完結しない選択、サイボウズが提示するGaroonとの連携による効果

  5. セキュリティ

    生成AIを利用した標的型攻撃とはどのようなものなのか?実態を明らかにして効果的な対策を考える

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]