マイクロソフトは、自社のセキュリティに関する取り組みについて報告する「Security Summit 2005 Fall」を開催した。今回はMicrosoft米国本社でセキュリティビジネス & テクノロジーユニットのコーポレートバイスプレジデントを務め、セキュリティ技術部門の事実上の総責任者のポジションにあるマイク・ナッシュ氏が講演を行い、今後提供予定のInternet Explorer 7やWindows Vista、その他の各種ツールによりどのようにセキュリティを強化していくかについて語った。

Trustworthy Computingは着実に成果を挙げている

ナッシュ氏は冒頭で、とあるパートナー企業のCSO(Chief Security Officer)から「Microsoftの掲げるTrustworthy Computing(TwC)はうまく行っていないのではないか。実際、最近のSecurity Advisoryの数はむしろ増加している」と指摘を受けたと語った上で、「確かにMS製品全体ではSecurity Advisoryの数は増加しているが、これにはTwC開始以前の製品も含まれており、例えばWindows XP SP2ではAdvisoryの数は減少している」と述べ、TwCが着実に成果を挙げていることをアピールした。またオープンソースソフトとの比較においても、ナッシュ氏は「Windows Server 2003とRed Hat Enterprise Linux 3の脆弱性の数を、当社のSecurity Bulletin Searchによるデータで比較すると、Windowsの方が圧倒的に少ない」と語ったほか、Webサーバやデータベースサーバといったワークロード単位での比較でも「Windowsベースの環境のほうが脆弱性は少なくなっている」として、TwCの進展により多くのオープンソースソフトよりもむしろセキュリティの面では優位に立っているという見解を強調した。

その上でナッシュ氏は最近の同社におけるセキュリティ関連のトピックを紹介し、同社が提供する「Microsoft Windows AntiSpyware」のベータ版のユーザ数が既に1,800万を突破していること、またWindows Updateなどで配布している「悪意のあるソフトウェアの削除ツール」の実行回数が既に13億回にも上っていることを紹介した。

Internet Explorer 7で大きく強化されるセキュリティ

ここでナッシュ氏は、同社がセキュリティに力を注ぐ上で重視する三本の柱として「技術への投資」「規範的なガイダンス」「業界とのパートナーシップ」の3つがあると語った上で、主にこの中から「技術への投資」の部分について大きく時間を割いて解説。前述のTwCの開始や各種セキュリティツールの提供などにより、既に多くの分野でセキュリティに関する基盤の強化が行われているほか、ユーザの労力も大きく軽減されていると語り、今後さらにそれを進展させていくものの代表例として「Internet Explorer 7」(以下IE7)を挙げた。

IE7では、フィッシングサイトの可能性がある(サイト名が本来あるべきサイトではない / httpsで保護されていないページでID・パスワードの入力を求めるなど)場合にアドレスバーが黄色に変わりユーザに警告を発するほか、ユーザがMSN Safety Serviceにその内容を通報することもできる。通報内容は、MSN側がヒューリスティックスキャンなどの手法で検査する。結果、同サイトがフィッシングサイトである可能性が高いと判断された場合には、ユーザが該当サイトへアクセスするとアドレスバーを赤色で表示するだけでなく、サイトへのアクセス自体がブロックされるようになるという。

このほか、IE7ではデフォルトでActiveXコントロールの動作がoffとされ、事前にユーザが動作を許可したもの以外のコントロールが必要になる場合はその旨をステータスバーで表示し、明示的に許可を与えない限りコントロールが動作しなくなるように挙動が変更されるとのこと。これにより意図しないActiveXをダウンロードさせられた場合でも動作をブロックすることが容易になる(これを同社では「ActiveX Opt-in」と呼んでいる)。さらにWindows Vistaにおいては、仮に悪意のあるActiveXの動作を許可してしまった場合でもWebサイトからローカルのHDDに書き込みを行うこと自体が制限されるため、ActiveXからは「Temporary Internet Files」以下の仮想フォルダにしか書き込みができなくなるという。