技術中心のセキュリティからセーフティへ

MSが語る「脆弱性がなくなっても解決しない問題」とは？

2008/11/27

　マイクロソフトは11月27日、同社のセキュリティに関する取り組み「Trustworthy Computing」についての説明会を開催した。チーフセキュリティアドバイザー、高橋正和氏は「従来の技術を中心としたセキュリティから、安心・安全という広義のセキュリティへと位置付けが変わってきている」と述べ、確実な認証やそれに基づくアクセス制御といった技術に裏付けられた「エンドツーエンドのトラスト（信頼）」が必要になるだろうと指摘した。

マイクロソフト チーフセキュリティアドバイザー 高橋正和氏

　高橋氏はまず、設計・開発時からセキュリティに留意するアプローチ「Security Development Lifecycle（SDL）」に基づいて開発されたWindows Vistaは、Windows XPに比べると公表された脆弱性が半分近くにまで減っていること、そしてサイバークリーンセンター（CCC）を軸としたボット対策プロジェクトによって、日本でのマルウェア感染は他国に比べるとある程度押さえ込まれていることに触れた。特にCCCと連携してのボット対策は、世界的に見ても例のない取り組みといい、2005年には2～2.5％と見られていた感染率が1％にまで低下するなど、ある程度の成果が得られているという。

　だが残念ながら、「たとえ脆弱性がなくなっても解決しない問題がだんだん比重を増してきている」（高橋氏）。

　具体的には、インターネットの利用が広がるにつれ、オンラインでの行動（ビヘイビアの）プロファイリングやプライバシーの問題が浮上してきた。また、クラウドコンピューティングの浸透によるデータの集約、国や地域ごとの法律の違いといった問題も顕在化している。また、プロファイリングと裏表の関係にあるが、不正を行ったユーザーに対する追跡性の弱さによる「利用者の不安という問題もある。はっきりした不安というよりも、漠然とした不安感」（同氏）もあるとした。

　この問題を解決し、オンラインで「信頼感」を実現するためには、「相手が本当にその相手かどうかを確認できることがポイントになる」と高橋氏。すでに、認証やID管理、アクセス制御といった要素技術はあるが、それらをシステマティックな形で連結していくことが必要だという。それも、ただ技術のみを実装するのではなく、社会的な要請や経済的要素などさまざまな議論を踏まえながら、信頼を醸成するための「スタック」を形作っていくことが今後の課題だとした。