マイクロソフト チーフセキュリティアドバイザーの高橋正和氏

マイクロソフトでは2002年1月より、全社を挙げて「Trustworthy Computing」に関する取り組みを行っている。これは「Security」「Privacy」「Reliability」「Business Practices」という4つのファクタを柱に、本質的な共通技術基準やプロダクトライフサイクルを確立、信頼できるコンピューティング環境を目指すものだ。チーフセキュリティアドバイザーの高橋正和氏は「昨今ではセキュリティとプライバシーが非常に接近している状況であり、改めて"Trustworthy Computing"の重要性が問われています」と語る。

「Trustworthy Computing」に関する取り組み

技術的な取り組みとしては「多層防御」「IDとアクセス制御」「脅威の緩和」といった各要素に加えて「SDL(Security Development Lifecycle)」の存在が大きな役割を果たしている。SDLとは「セキュアな設計(Secure by Design)」「セキュアな初期設定(Secure by Default)」「セキュアな展開(Secure in Deployment)」という3つの要素で構成された「SD3」の考え方に基づき、製品・サービスの開発段階だけでなくライフサイクル全体にわたってセキュリティを最優先する取り組みだ。同社ではこうした「テクノロジー」に、セキュリティ教育や啓蒙活動を行う「ガイダンス」、産学官と連携する「パートナーシップ」という領域を組み合わせることで、盤石なセキュリティ体制の構築を推進している。

セキュリティに対する技術的な取り組み内容

SDLの具体的な成果として高橋氏は、Windows XPと比べてWindows Vistaが脆弱性の低減に成功している例を挙げた。XPとVistaで一定期間に公表された脆弱性を比べた場合、2007年中では約1割減、リリース後1年間に限定すると約半数まで減っているのが分かる。また「マイクロソフト セキュリティ インテリジェンス レポート(2008年上半期)」において、同社の脆弱性を突いた攻撃コードはXPが全体の42%なのに対してVistaでは6%まで減少したという結果も出ている。

リリース後1年間および2007年中に公表された脆弱性の比較

マイクロソフトの脆弱性を突いた攻撃コードの比較

さらに高橋氏は別視点の統計データを挙げ「日本は世界で最もマルウェアの検出数が低い国です」と語る。このデータは、悪意あるソフトウェアの削除ツール「MSRT(Malicious Software Removal Tool)」を1000回実行するごとに検出した感染コンピュータの台数がヒートマップ状に表わされたもの。割合で示すと世界平均が1%程度なのに対して日本の平均が0.2%程度と、明らかに大きな差がみられる。高橋氏はこの結果について「明確な要因は解明できていませんが、ひとつの可能性としては日本で行っている独自の取り組みが功を奏しているのではないかと考えます」と語る。

世界で最もマルウェアの検出数が低い日本