反省が生んだMSの新セキュリティ戦略「多層的防御」とは

2004/3/9

 米マイクロソフトのバイスプレジデントで、マイクロソフト日本法人 執行役 最高技術責任者 古川亨氏は3月8日、コンピュータ・ウイルスなどセキュリティの問題が相次いでいるWindows OSについて、「多層的な防御(Defense-in-depth)が必要だ」と述べ、セキュリティパッチやファイアウォールなどを効率的に適応することで確実に企業システムを守ることができる統合的なセキュリティ環境を構築する考えを示した。

米マイクロソフトのバイスプレジデント、マイクロソフト日本法人 執行役 最高技術責任者 古川亨氏。古川氏によると同社のビル・ゲイツ会長は1日に600万通のスパムメールを受け取っているとか

 古川氏はマイクロソフトが開催した顧客企業向けのセキュリティ・イベント「SECURITY SUMMIT 2004」で講演した。

 古川氏が説明した多層的防御とは、データやアプリケーション、ホスト、内部ネットワークなど企業情報システムのさまざまなレイヤでセキュリティ上の問題をブロックする考え方。多層的防御を実現するには、暗号化、セキュアなコーディング、ウイルス対策、ネットワーク認証、侵入検知などレイヤごとに有効な防御を用意し、有機的に組み合わせる必要がある。しかし、マイクロソフトのセキュリティ対策は「セキュリティ更新プログラムだけで、多層防御のほんの一部だけだった。反省している」(マイクロソフト 執行役 最高セキュリティ責任者 東貴彦氏)という。

 マイクロソフトが多層防御を実現するうえで重要視しているのがセキュリティパッチだ。マイクロソフトはセキュアなプログラムを開発しようと務めているが、予想できないセキュリティホールや攻撃の出現は避けられない。その場合、セキュリティパッチで対応するのが基本的な考え方。しかし、顧客企業からはマイクロソフトのセキュリティパッチについて「パッチの品質が低く、適用プロセスに一貫性がない」などの声が同社に寄せられていた。つまりクライアントPCへのパッチ適用を情報システム部で統合管理することができず、セキュリティのレベルを全社で統一できないという問題だ。

 その課題を解決するツールとして古川氏が紹介したのが2004年上半期にも登場する「Software Update Services 2.0」(SUS 2.0)。SUS 2.0はマイクロソフトのクライアントPC、サーバの各OS製品とOffice製品、SQL Server、Exchange Serverに対してリモートで一括してパッチを適用できるツール。パッチや重要度、製品、プラットフォームに応じてそれぞれスケジュールを設定できたり、適応するクライアントPCやサーバをグループ分けすることができ、効率的なパッチ適応管理を可能にするという。利用は無償。

 また、クライアントPC、サーバにどのようなパッチが適用されてるかというセキュリティ上の必要最低限の情報を情報システム部が得るには、すでに無償配布されている「Microsoft Baseline Security Analyzer 1.2」(MBSA 1.2)が利用できる。MBSA 1.2はリモートで複数のPC、サーバをチェックして必要なパッチが適応されているかを確認する。パッチが適応されていないPC、サーバは警告表示をして情報システム部の管理者に知らせる。チェックできるのはWindows Server 2003、2000、XP、NT4.0、IIS、SQL Server、Office製品などで、利用は無償となっている。

 古川氏は2004年上半期にも出荷予定のWindows XP Service Pack 2のセキュリティの強化点についても説明した。XP SP2ではファイアウォール機能を変更し、インスタント・メッセージングツールなどのネットワーク・アプリケーションを利用する際にファイアウォールがブロックしているポートを一時的に開放する機能を搭載した。これまでのXPのファイアウォール機能は、機能を使うか、使わないかの選択しかできなかったため、ネットワーク・アプリケーションを使うユーザーは利用の障壁となることが多いファイアウォール機能を解除することが多かった。XP SP2でアプリケーションの利用ごとにファイアウォール機能を簡単に解除できるようにしたことで、ファイアウォール機能の利用が広がることをマイクロソフトは期待している。

 古川氏はマイクロソフトが今後目指すセキュリティの方向性についても説明した。古川氏によるとマイクロソフトは2004年下半期にWindows Server 2003 Service Pack 1の開発を終了する予定。2003 SP1ではサーバの役割に応じて設定を変更できるセキュリティ設定ウィザードや、リモート接続しているクライアントPCの検閲機能などを搭載するという。

 マイクロソフトは来年以降、スパムメールをブロックするExchange Perimeter Servicesや次世代の検疫技術、CPU、メモリのI/Oをモニタリングし物理的なデータの盗難を防ぐ技術などを開発する方針で、「クライアントPC単体での多層防御」に注力する。

 マイクロソフトは3月9日からマイクロソフト製品のセキュリティ機能を学べるトレーニングツアーを全国で開催する。セミナーは300回以上の開催を予定していて、3万人以上の参加を見込んでいる。

(編集局 垣内郁栄)

[関連リンク]
マイクロソフト
マイクロソフト セキュリティホーム
SECURE SYSTEM Training Tour 2004

[関連記事]
打倒SQL Serverでケンカ腰、オラクルがOracle 10gを10万円に (@ITNews)
MS、Linuxとの比較広告キャンペーンで"事実を知ってほしい" (@ITNews)
Visual Studio .NETをプレゼント、MSが学生向けイベント (@ITNews)
本気と書いてマジと読む? MSが中小企業向けサーバへ熱意 (@ITNews)
セキュリティ10大ニュースで2003年を振り返る (@ITNews)
MS帝国の逆襲とLonghorn (@ITNews)

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)