「セキュリティは地球全体の問題」 - Trustworthy Computing最高責任者

 

米Microsoft Trustworthy Computing最高責任者のScott Chaney氏

Trustworthy Computingを推進してセキュリティ強化の方針を打ち出しているMicrosoftは、重要インフラや各国政府に対しても、セキュリティの観点から積極的に連携を図ろうとしている。現在、政府や重要インフラにおいてもITへの依存度が高まり、インターネットの障害やソフトウェアの脆弱性で、経済活動の停止や国家の安全を脅かす事態にも陥りかねない。

そして実際、重要インフラや政府を狙った攻撃はすでに行われている。こうした中、国家の安全と経済活動などを守るためには、政府と、重要インフラを抱える民間企業らが、官民一体となって対策を行う必要がある。そう語るのはMicrosoftでTrustworthy Computingの最高責任者であるScott Charney氏。

高いシェアを誇るWindows OSを抱え、クライアントからサーバー製品までを網羅するMicrosoftは、そうした現状に対してどういった施策を打ち出しているのか。Charney氏との会見から見てみたい。

政府との関係を密に

Charney氏は、米司法省の犯罪検察部門においてコンピュータ犯罪と知的財産権を担当していた連邦検察官だった。1991年から99年にかけて米国で発生した主なハッカー事件のほとんどすべての解決に貢献した、という。主要8カ国(G8)の下位組織であるハイテク犯罪担当グループ議長、経済協力開発機構(OECD)の暗号に関する世界ポリシー策定のための臨時専門部会米代表・副議長、などを歴任してきた。

現在はMicrosoftのTrustworthy Computing最高責任者として、同社のセキュリティ戦略の立案、他企業や各国政府との協力体制の推進といった業務に就いている。今回は中国政府要員との会談でMicrosoftのセキュリティ戦略を説明したのに続いて、日本でも内閣官房、総務省、経済産業省、警察庁といった政府関係者との会談を行っているという。会談では、サイバー犯罪に対する取り組みについて説明したそうだ。

Charney氏によれば、米国では90年代後半からサイバー犯罪と基幹インフラに対する防衛活動が活発化している。「米国に先見の明があったわけではなく、しょっちゅうハッキングされていたからだ」(Charney氏)。88年に、インターネットの全システムの10%を休止状態に追い込んだと言われるMorrisワームが登場、インシデント対応機関のCERT/CC設立のきっかけとなったほか、同時期からハッキング事件も起き始め、96年には米シティバンクから1,000万ドルが横領される事件も発生。こうした経緯から米政府は他国に比べても早い段階で問題に着手し始めたのだという。

ただ、もちろん他国の政府も問題は認識、対策に乗り出している。しかし「政府機関は(ITの)保護計画の策定に苦戦している」(同)。インターネットはあらゆる省庁に関わっており、従来の縦割り行政ではなく、横断的に防御計画の立案作りをしなければならない、という。米で言えば国土安全保障省が横断的な政策立案をやろうとしており、日本で言えば内閣官房が同様のことをやろうとしている、とCharney氏は語る。

そうした政府に対してMicrosoftは、GSP(Government Security Program)を提供。Windowsのソースコードを政府に公開し、必要があれば変更も認めている。すでに50カ国以上が参加しており、ソースコードの開示だけでなく、ツールの提供やトレーニングの実施などを行い、政府との関係を密なものとしているそうだ。現在は、WindowsだけでなくOfficeのソースコードについても開示しているという。ただ、日本政府については、「検討しているようだが」(同)GSPに参加はしていない。

5日前に脆弱性情報を公開

またCharney氏は、現在の脆弱性情報の公開ポリシーについても解説。基本的にはすべてのユーザーに対して平等に公開することを前提としており、修正パッチが準備できない段階では脆弱性情報を公開しない、というポリシーで運営しているという。「パッチがいつ出るか分からない」という声に対しては、毎月第2火曜日(米時間、日本時間では毎月第2水曜日)にリリースすることで対応してきた。

しかし、その脆弱性情報がWindowsの脆弱性なのか、Officeなのか、どれほど重要なのか、パッチを導入するにあたってどういった要員を用意すればいいのか、パッチリリースの段階でないと分からない、といった声が集まり、同社ではこれに対応するために、事前に脆弱性情報を公開する仕組みを作っている。

企業や政府などと秘密保持契約(NDA)を結び、そういったユーザーに対しては情報公開の5日前に通知し、その準備期間を提供する、というものだ。ただし、この契約は「エンドユーザー向けのものではない。エンドユーザーは自動アップデートをオンにすればいい」(同)。エンドユーザーは特殊なアプリケーションを使っておらず、事前の準備やテストが必要ない、というのがその理由だ。

Longhornはすべての工程でセキュリティをテーマに

次期Windows OSとなる「Longhorn」(開発コード名)におけるセキュリティも話題に上った。Longhorn開発では従来の開発工程を一新。設計、テスト、検証など、すべての工程でセキュリティをテーマとして開発を進めているという。設計段階で考えられる脅威を検討、脅威モデルを作り、想定される脅威にどのように対処できるか、などを検討しながら設計を行うという。工程では、セキュリティの専門チームやセキュリティアドバイザーが検査を行い、必要であれば見直しも行うそうだ。

この新しい開発工程では、プログラムがベータに達する前に、「セキュリティプッシュ」と呼ばれる作業を行う。人の手によるコード検査、ペネトレーションテストの実施、自動ツールによるコードの脆弱性チェック、といった作業を実施。それをクリアすると、続いてFSR(Final Security Review)が実施される。これは出荷に耐えられるかをリリース前にチェックする最終段階だという。

ちなみにセキュリティプッシュを初めて実施したのはWindows Server 2003で、このときは42個の致命的な脆弱性が発見され、最終的な出荷時にはそれが14個に減っていたという。Longhornではセキュリティ重視の新工程を初期段階から導入しているので、さらに堅牢性が高められる、とCharney氏は主張する。

またMicrosoftではそうしたセキュリティの施策を積極的に公開。脅威モデルの本を出版しているほか、今年末のIEEEの会議でもこうした取り組みを公開するそうだ。

Charney氏は、セキュリティのエキスパートの数が少ない、という点も指摘。Windows Server 2003の開発に当たって、8,500人のテスターがセキュリティのトレーニングを受けたという。安全なプログラミング手法を説いた「Writing Secure Code」の著者の一人であるマイケル・ハワード氏がトレーニングを編成し、まずはセキュリティに詳しい人員を育てることから始めたそうだ。

「Trustworthy ComputingはMicrosoftだけの課題ではなく、業界全体、地球上に関わる問題だ。1カ所がうまく対策しても、犯罪者は(対策がとられていない業界や企業などに)スライドする。業界で横断的に対策する必要がある」(Charney氏)。



転職ノウハウ

あなたが本領発揮できる仕事を診断
あなたの仕事適性診断

シゴト性格・弱点が20の質問でサクッと分かる!

「仕事辞めたい……」その理由は?
「仕事辞めたい……」その理由は?

71%の人が仕事を辞めたいと思った経験あり。その理由と対処法は?

3年後の年収どうなる? 年収予報
3年後の年収どうなる? 年収予報

今の年収は適正? 3年後は? あなたの年収をデータに基づき予報します。

激務な職場を辞めたいが、美女が邪魔して辞められない
激務な職場を辞めたいが、美女が邪魔して辞められない

美人上司と可愛い過ぎる後輩に挟まれるエンジニアの悩み

人気記事

一覧

イチオシ記事

新着記事

『星のカービィ』一番くじに、ドットやゲーム画面デザインのアイテムが登場
[19:00 9/30] ホビー
シャープ、有機ELディスプレイのパイロットラインに574億円を投資
[18:49 9/30] テクノロジー
[注目アニメ紹介]「タイガーマスクW」 34年ぶりの新作アニメ 2人のタイガーに注目
[18:44 9/30] ホビー
[カノン]比嘉愛未、佐々木希、ミムラが3姉妹役で共演 親子の絆を硬軟織り交ぜ描く
[18:43 9/30] エンタメ
[フジテレビ亀山社長]古舘伊知郎の新番組 日曜2時間枠で「サラリーマン層取り込む」
[18:43 9/30] エンタメ

求人情報