[ガートナー特別寄稿]
マイクロソフトはセキュリティの分野でも勝利者になれるのか？

ガートナージャパン
ジャパン リサーチ センター リサーチディレクター
栗原　潔

2002/9/14

■マイクロソフトがセキュリティを重視する理由

　周知のように、現在マイクロソフトは自社製品のセキュリティ改善を、全社的な最優先課題としている。にもかかわらず、マイクロソフト製品のセキュリティ・ホールに関する情報が連日のように報道をにぎわせている。その中には、SSLのデジタル認証にかかわる問題など、かなり根本的な問題もある。マイクロソフトは本当にセキュアな製品を作り出すことができるのだろうか？

　マイクロソフトがセキュリティに力を入れざるを得ない重要な理由がいくつか存在する。

　言うまでもないが、ブロードバンド網の普及やWebサービスの活用によって、今まで以上にシステムの接続性が向上し、セキュリティの重要性は大きくなっている。今年始めにガートナーが米国のCIO 1500人に対して行った調査でも、セキュリティが最も重要な課題として挙げられている（そもそも、この種のサーベイを行うと、米国でも日本でもセキュリティがほぼ必ず最重要案件として選ばれるのであるが）。セキュリティに対する社会的関心の高まりに伴い、十分なセキュリティを持つ製品を提供する努力を怠ったベンダは、法的責任を追及される場合すら出てくるかもしれない。

　また、UNIXベンダはマイクロソフト製品のセキュリティ問題をマーケティング上の重要な要素としている。スケーラビリティや可用性の点において、WindowsはUNIXとのギャップをかなり縮めてきていることもあり、マイクロソフトにとってセキュリティ問題は今後ますます、ライバルに攻撃の口実を与える要素になる可能性がある。さらに、Linuxである。Linuxにセキュリティ上の問題がないというわけではない。しかし、オープンソースゆえ、セキュリティ問題が発覚した後のフィックスの速さには実績がある。Linuxに対する脅威は、マイクロソフトの尻に火をつけたと言えるだろう。

　最後の重要な点として、マイクロソフトは、将来の.NET時代を見据え、自社のビジネス・モデルを変革し、インフラソフトの提供ベンダからWebサービスプロバイダへと進化していく可能性が高いという点が挙げられる。マイクロソフトがWebサービス提供によるビジネス、つまり、次世代のASP事業を展開しようとするならば、そのインフラには自社製品を使わざるをえない。マイクロソフト製品がセキュリティ上の問題を起こせば、それは自社のビジネスに直接はね返ってくるわけだ。今までのように、セキュリティ維持の負荷の大部分をユーザーにし付けているようなやり方は通用しなくなるだろう。

■セキュリティ強化に向けた企業文化の変革が必要

　マイクロソフトは、セキュリティの向上に金銭的および人材的な巨額投資を行っているが、それでも、短期間に自社製品のセキュリティを向上させていくことは容易ではないだろう。システム系の技術者なら誰もが知っているように、堅牢なセキュリティを欠く基盤テクノロジに対して後付けでセキュリティを強化することは難しいからだ。マイクロソフト製品には今後大きな設計変更やリエンジニアリングが必要とされるだろう。

　また、セキュリティの強化には、マイクロソフトが20年以上にわたり作り上げてきた企業文化を変革することが必要となるだろう。今までマイクロソフトは、厳密な設計レビューよりも事後的なテストを優先する体制で、（エンタープライズ向けの堅牢な機能よりも）個人やワークグループ向けの自由度の高い機能を優先した設計開発を行ってきた。セキュリティの強化には、このような企業文化の方向性を180度転換することが必要となってくる。

■マイクロソフトのセキュリティ分野におけるいくつかのシナリオ

　ガートナーでは、マイクロソフトのセキュリティ分野における将来について、いくつかのシナリオを想定し、分析している。最も可能性が高いと考えているのは、2003年までにマイクロソフトが自社製品のセキュリティをUNIXやLinuxと同等レベルまで引き上げることに成功するというシナリオ（シナリオ１）だ。前述のように、これは容易なことではないだろう。しかし今までマイクロソフトは、真の戦略的課題とみなし、資源を集中した分野においては、（最初は多くの批判を浴びようとも）最後には必ず成功してきている。そして、今年の頭にマイクロソフト全社員に向けて発信されたビル・ゲイツ氏のメモは、セキュリティが同社にとって真の戦略的課題であることを示しているのである。

　また、マイクロソフトがセキュリティを重要案件と考えなくなる可能性（シナリオ２）、および、セキュリティに注力するものの、自社製品のセキュリティ向上に失敗するという可能性（シナリオ３）もあり得ると、ガートナーでは考えている。現時点での実現可能性はシナリオ1=60%、シナリオ2=20%、シナリオ3=20%と見ている。

　いずれにせよ、マイクロソフト製品のインターネット環境におけるセキュリティ上の問題は、当面続くことになるだろう。WindowsサーバでセキュアなWebサイトが構築できないわけではないが、企業のセキュリティ担当者は、今まで以上に最新のセキュリティ情報に注目したWindowsサーバの保守作業を行っていかざるをえないだろう。インターネットのWebサーバとして使用されているUNIX／LinuxとWindowsの割合は、ほぼ3対1である。その一方で、報告されたハッキングの件数はほぼ1対2だ。単純計算で言えば、WindowsのWebサーバはUNIX／Linuxと比較して6倍リスキーということなのだ。

注：ガートナーは世界最大のIT戦略アドバイス企業で、本記事は同社日本支社 ガートナージャパン リサーチディレクター 栗原氏からの寄稿である。

[関連記事]
果たしてマイクロソフトは信頼を回復できるのか？ （NewsInsight）
ラックとマイクロソフト、セキュリティソリューションを強化へ （＠ITNews）
MS、ビジネス環境向けセキュリティ対策プログラム （＠ITNews）
「本題の前に、セキュリティの話を」とMS社長 （＠ITNews）

情報をお寄せください：

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）