ニュース / トピックス
マイクロソフト、セキュリティーに関する取り組みをテーマとしたプレスセミナーを開催
2004年2月26日
マイクロソフト(株)は25日、セキュリティーに関する同社の最新の取り組みをテーマに月例プレス説明会を開催した。今回は、昨年9月以降の同社のセキュリティー対策の施策や、25日にプレスリリースが発表された新しい施策の説明が中心に取り上げられた。
 |
マイクロソフトの執行役でチーフセキュリティアドバイザー(CSA)の東貴彦氏 |
今回の説明会でスピーカーを務めたのは、同社執行役でチーフセキュリティアドバイザー(CSA)の東貴彦氏。同氏によると、CSAの役割は、
- 社内および社外に、同社のセキュリティーに対する考え方を伝えるスポークスマン
- 社内横断のセキュリティーマーケティング組織“セキュリティ戦略グループ”との連携
- セキュリティー情報の公開、セキュリティー関連のテクニカルサポートを担当する“セキュリティーレスポンスチーム”との連携
を執り行ない、より強力な“信頼できるコンピューティング(Trustworthy Computing)”を推進する体制に関わるものだという。
冒頭に同氏は、「(マイクロソフト製品の“脆弱性”について)一部では“欠陥”と報道されることがあるが、“欠陥”と“脆弱性”は別のもの」として、“欠陥”とは設計時点ですでに問題があるケースを指し、“脆弱性”は、設計上は問題がないものの、出荷後に発見されるセキュリティー上の問題、という同社の見解を示した。また、この“脆弱性”とは、悪意のある攻撃者が存在して初めて被害が出るものであり、同社が告知する脆弱性の“緊急度”の格付けについては、悪意のある攻撃がしやすい“脆弱性”ほど、“緊急度”を高くしているという(“壊れやすさ”のランク付けとは異なるという)。
 |
“脆弱性のライフサイクル”を説明するスライド |
こうした“脆弱性”に対応する方策として、同社は“セキュリティ更新プログラム”と呼ばれるパッチを配布している。パッチの公開時には必ず“脆弱性”に関する情報とセットで提供され、2003年10月以降は原則月に1回、定期的に発表している。ただし、即時性が要求される“緊急度”の高い内容に関しては、不定期に発表されるという(例:3日に配布されたInternet Explorerの更新プログラム、13日に発表された追加の更新プログラム)。配布に関しては、“Windows Update”が利用されており、同社としては、Windowsの“自動更新”機能の利用を強く推奨しており、今後も一般ユーザーに広く呼びかけていくという。現在、“脆弱性”のライフサイクル(“脆弱性”の発見から“更新プログラム”の適用までの期間)は、技術的な進歩により以前よりも短くなっているというが、「攻撃者側の技術も向上している」こともあり、脆弱性が発見されてから更新プログラムが出るまで、ないしは緩和策が提供されるまでの短い期間の間に“脆弱性”を突いて攻撃が行なわれる“ゼロデイアタック”と呼ばれるリスクも生まれているという。
 |
“脆弱性報告窓口”日本語版の概要 |
|
 |
“脆弱性報告窓口”のウェブサイト |
|
同社は25日、世界的に展開している“脆弱性報告窓口”の日本語版を開設し、従来英語での受け付けとなっていた“脆弱性”の情報提供を、日本法人が日本語で受け付けるシステムを発表した。同社が英語以外の言語で“脆弱性報告窓口”を設置するのはこれが初めて。これにより、国内のセキュリティー調査機関や専門家との緊密な協力関係を強化し、日本国内での調査や対応、米国本社のセキュリティー対策チーム“Microsoft Security Response Center”との連携を図っていくとしている。なお、基本的には日本で受け付けた情報の検証などの作業は、日中は国内で行ない、夜間は作業・情報を米国側に引き継いで作業を継続するという体制をとることで、24時間フルタイム稼動していくという。
マイクロソフトには“脆弱性報告窓口”などを通じて、世界中の技術者や研究機関などから情報が寄せられるというが、東氏によると、「そのほとんどが善意のある協力者ではあるが、ごく一部には、“脆弱性”の情報を明らかにすると同時に、その“脆弱性”を悪用した“エクスプロイト”と呼ばれるプログラムを公開する人もいる」という問題もあるとしている。同社としては、“脆弱性”の情報については、“新たに発見された“脆弱性”は責任のある形で報告されなくてはならない”“新たに報告された“脆弱性”に責任を持って対処するプロセスがなくてはならない”という2つのポリシーを取っているという。
 |
マイクロソフトの現在行なっている、および今後実施するセキュリティーに関する施策 |
これまで、および今後の施策としては、大きく“一般パソコンユーザー向け”“ビジネスユーザー向け”の2系統の施策をとるという。
 |
マイクロソフトが「広く一般のユーザーに設定してほしい」(東氏)と推奨する、“Windows Update”の“自動更新”機能の設定方法 |
一般ユーザー向けには、2003年9月以降、“Protect Your PC”キャンペーンを実施しており、この中で、Windows内蔵のファイアーウォールの使用、“Windows Update”の使用、最新のウイルス対策ソフトの使用、という3点を訴求しているといい、今後はこの中でも特に“更新プログラム”が配布される“Windows Update”の使用には今後も重点を置いてアピールしたいという(特に前述の“自動更新”機能の使用を推奨していくとのこと)。また、“Windows Update”は、将来的には、Office関連製品の更新プログラムが配布される“Office Update”、手動で更新プログラムなどがダウンロードできる“Download Center”と統合を進め、“Microsoft Update”という機能に集約していく計画だという。なお、現在のデフォルト設定では能動的なアクションをしなくては適用されない“Windows Update”だが、上半期中にリリースする予定だというWindows XP Service Pack 2では、デフォルトで“自動更新”機能が有効化された状態にする予定だという。
これに加えて、全世界規模で展開する、大手ISPと共同で実施するセキュリティー対策プログラム“GIAIS(Global Infrastructure Alliance for Internet Safety)”をスタートし、一般ユーザーへのセキュリティー対策の普及活動、脅威の把握と迅速な緊急時対策、安全なインターネット環境の実現に向けた長期的技術協力を行なうという。
ビジネスユーザー向けの施策としては、
- “Security Summit 2004”を3月8日に開催
- 同社のセキュリティーに関する取り組みの方針やビジョン、具体的な活動計画について説明するセミナー。時期製品やWindows XP Service Pack 2に含まれる機能の紹介も予定。
- “Secure System Training Tour 2004”を展開
- 全国47都道府県で、総計300回、2万人以上を対象に実施する、1日間の実践トレーニング。基本的なセキュリティーの知識や“セキュリティ更新プログラム”の管理方法、Windowsサーバー/クライアントのセキュリティー対策といった内容の“IT Pro #1コース”(3〜4月に開催予定)、ネットワークでのセキュリティー対策の基礎と実践を学習する“IT Pro #2コース”(4〜5月に開催予定)、開発者向けのアプリケーションセキュリティーやセキュアーなコード記述を学習する“Developerコース”(5〜6月に開催予定)の3コースを用意。
- “MCA(Microsoft Certified Associate)”に“MCAセキュリティ”を新設
- セキュリティー対策に関する総合的な知識の習得を目的とした資格で、ITに携わる全ユーザーを対象とする(開発者向けのトレーニング/資格ではない)。技術知識に限定せず、情報管理のあり方など、資格取得者の総合的な情報リテラシー向上を通して、ユーザーレベルでのセキュリティー対策を可能にすることを目指す。
といった、セミナーやトレーニングといった学習によって、コンピューターを扱うユーザー全体のセキュリティー意識やセキュリティー対策能力の向上を図っていく展開を行なうという。この日のセミナーの中で同社は“人とプロセスとテクノロジーの3つがなければセキュリティーは守れない”という考えを示しており、同社の“脆弱性”への技術的な対策や対応体制の強化だけでなく、ユーザーのセキュリティー意識やスキルの向上も重要なテーマとしていくことを今後の活動に盛り込んでいる。
 |
マイクロソフトのセキュリティー対策のシステム、サービスなどの構成図 |
(編集部 内田泰仁)
| ![ASCII24 - [Main Menu]](/images/2005/news_menu_01.gif)
![[Menu 2]](/images/2005/news_menu_02_blogmag.gif)
![[PR]](/images/2003/pr_icon.gif){kind=icon}
