エンタープライズ

RBB検索

この記事をブックマークする：

【情報セキュリティEXPO】マイクロソフトの技術トップが語るVistaのセキュリティ戦略とは？

【写真1】米マイクロソフトコーポレートVPのベン・ファティ氏（Windowsコア・オペレーティング・システム部門担当）。MSのセキュリティ戦略を支える中心人物

　5月18日、東京ビッグサイトで開催中の情報セキュリティEXPOにおいて、米マイクロソフトコーポレートVPのベン・ファティ氏（Windowsコア・オペレーティング・システム部門担当）が基調講演に登壇し、同社のセキュリティ戦略について披露した【写真1】。ベン・ファティ氏は、MSのセキュリティ戦略を支える中心人物である。

　IT利用の普及に伴い、情報セキュリティはマイクロソフトにおいて重要なテーマとなっている。先ごろリリースされた新OSの「Windows Vista」では様々なセキュリティ機能が搭載されている。ベン・ファティ氏は、同社が情報セキュリティの問題をどのようにとらえ、対策を進めているのか説明した。さらに、セキュリティ戦略の全体像を俯瞰し、具体的な問題に対し、どのような解決策を試みているのかという点も紹介した。

　まずベン・ファティ氏は、1980年代半ばから現在に至るまでセキュリティ上の脅威の変化について振り返りつつ、ビルゲイツ会長が表明した「Trustworthy Computing」というコンセプトについて述べた。これはセキュリティを含めた同社の開発カルチャーを改善する試みでもある。ユーザーコンピューティングの信頼を勝ち得るために、「セキュリティ」「プライバシー」「信頼性」「ビジネスプラクティス」という柱を中心に展開しているという。これらの中で、セキュリティに関しては、インターネットの進展に伴ってコンピューティングのアプローチが変化してきているため、マイクロソフトだけでなく、業界全体を含めてより良いセキュリティ環境を構築する必要があると訴えた。

　ベン・ファティ氏は、この信頼を実現するために、「ネットワークの進化」「保護技術の進化」「認証技術の進化」「相互運用」という4つのプロセスを挙げた【写真2】。

【写真2】「Trustworthy Computing」というコンセプトにおいて、コンピューティングの信頼を勝ち得るために、セキュリティ分野で「ネットワークの進化」「保護技術の進化」「認証技術の進化」「相互運用」という4つのプロセスを挙げた

　まず、ネットワークの進化に伴うセキュリティ対策への変化については、次世代のTCP/IPスタックの1つとして、IPv6への対応がある。ベン・ファティ氏は「ここ数年でIPv4からv6へのプロトコル移行が行われるだろう。そこで、Windows VistaではIPv6の完全サポートをした」と述べた。Vistaでは、相手側がIPv4であってもIPv6としてエミュレートできる「デュアルネットワーキングスタック」を採用している。また、「エンドツーエンドで通信を暗号化するIPsecも重要だ」と付け加えた。

　次に保護技術の変化については、抜本的に安全なプラットフォームをつくることが必要とし、「Windows Vistaは従来のOSの中で最もセキュリティレベルは高い」と強調。とはいえ、ユーザーからは既存の古いOSやシステムに対するセキュリティ対策への要望もある。そのため同社では、コンシューマおよび、法人向けのセキュリティ製品を投入。

　たとえば、コンシューマ向けの「Windows Live OneCare」は、エンドツーエンドの保護を1つのパッケージで保護できる。ウイルス対策、スパイウェア対策、フィッシング対策、バックアップや復元、機能のチューニングなどを可能にする。一方、法人向けでは、「Microsoft Forefront」によってウイルス対策、ファイアウォール、フィッシング対策、メール保護など、ビジネスセキュリティ機能を総合して提供する。

　ID管理に関しては、「2要素認証のオーセンティフィケーションが重要。物理的な認証とパスワード認証を組み合わせる方向に進んでいる」と説明した。Windows Vistaでは、この2要素認証もサポートしている。

　最後の相互運用性については、業界標準のプロトコルとしての「Webサービス」や、Officeで利用しているオープンドキュメントフォーマット（XPS）を推進しているところだ。さらに、ベン・ファティ氏は、これらを推し進めるための具合的なセキュリティ戦略として、「テクノロジーへの投資」「規範的なガイダンス」「業界のパートナーシップ」という3つの分野に焦点を当てていると説明【写真3】。

【写真3】マイクロソフトの具体的なセキュリティ戦略の柱。「テクノロジーへの投資」「規範的なガイダンス」「業界のパートナーシップ」という3つの分野に焦点を当てている

　まずテクノロジーへの投資では、Windows Vistaのセキュリティについて言及。Vistaは何十件ものセキュリティ技術をフィーチャーしている。ベン・ファティ氏は、Vistaの代表的なセキュリティ機能について、いくつかの例を挙げて説明した【写真4】。

【写真4】Windows Vistaのセキュリティ機能。カーネルパッチ、カーネルモードのドライバ署名、UAC、NAP、Windows Defender、RMS、Bitlockerなどの機能が盛り込まれている

　Windows Vistaには32ビット版と64ビット版があるが、まず大きな改良点は64ビット版のプラットフォームへの移行にあたって、大きくセキュリティを強化できたことだという。「PatchGuard」として知られるカーネルパッチ保護機能があり、OSを保護することが可能だ。これは、カーネルのコードと重要な構造体が、未知のコードまたはデータによって書き換えられることから保護する機能。また、カーネルモードのドライバ署名によって、本当に有効なものが有効なベンダーから来た場合のみ、カーネルにロードできるようになった。これにより、rootkitなどセキュリティ上のリスクにドライバが利用されてしまう危険を回避することが可能だ。

　次にUAC（User Account Control）がある。これは、ユーザーが管理者権限でログオンしているシステム上でも、全アプリケーションが自動的にそれより低い権限で実行されるというもの。フィッシングスキャンやウイルスの感染があった場合でも、被害を最小限に食い止められる。さらに無償で提供されるアンチスパイウェア「Windows Defender」も用意されている。データ保護を目的とする「Bitlocker」によって、HDDのフルボリュームを暗号化することも可能だ（Enterprise、Ultimateのみ）。これにより、ノートパソコンの盗難による個人情報漏えいなどを防止できる。

　このほか、以前からあったものだが、NAP（Netwrok Access Protection）によるホスト・クライアントレベルのネットワークアクセス保護、データの暗号化・権限をメールやドキュメントに適用できるRMS（Right Management Service）なども紹介された。さらにベン・ファティ氏は、昨日WinHEC 2007でリリース時期などの詳細が発表された次期サーバ用OS「Windows Server 2008」（Longhorn）のセキュリティについても述べた【写真5】。こちらもデータセキュリティを保護するための多くの特徴がある。ハイパーバイザーの機能をOSにつくり込み、仮想化によって複数のOSを動作させ、複数のワークロードやアプリケーションを1つのハードウェアで動かせる。また、Active Directoryによって、複数のドメインをフォデレーション（接続）する「Active Directory　Federation Services」（ADFS）なども用意している。これは異なる企業システムの統合などにおいて有効となるものだ。

【写真5】次期サーバ用OS「Windows Server 2008」（Longhorn）のセキュリティ機能

　2番目の規範的なガイダンスでは、データ保護に対する啓蒙に注力している。たとえば「フィッシングがなぜ問題か？」といえば、それはソーシャルエンジニアリングが絡んでいるからだ。いくらセキュリティレベルの高いOSやアプリケーションを開発したとしても、実際にそれを利用するユーザーがスパムメールを開けたり、マルウェアが潜むサイトなどにアクセスする可能性がないわけではない。そのため、「どうやってセキュリティレベルを高めるかということも啓蒙していかなければならない。ルールを遵守させる仕組みが必要」という。

　3番目の業界のパートナーシップでは、コンソーシアムをつくり、標準化の策定を推進しているところだ。そして、政府・官公庁・警察当局などと協力しながら、インターネットで脅威が発生したときに、クラッカーを見つけるべく努力をしているという。これも同社がセキュリティの観点から実施していることの1つだ。

　ベン・ファティ氏は、マイクロソフト内部のセキュリティ対策に対する開発方針の大きな変化についても述べた。これは前述のコンセプトであるTrustworthy Computingに基づくもの。製品のセキュリティ開発ライフサイクルの見直しを図ることを目的としているという【写真6】。どうやってセキュアなソフトウェアを開発すべきか、というプロセスの問題だ。ある新しい製品をつくる際には開発チームとセキュリティの専門家を集め、脅威のモデルを検討する。

【写真6】Trustworthy Computingに基づく製品のセキュリティ開発ライフサイクル。各プロセスにおいてセキュリティ対策を考慮

　たとえば、ソフトウェアがどのような形で利用されるのか？　ネットワークとの通信や他のアプリケーションから呼び出させるインターフェースがあるのか？　クラッカーがいかに攻撃をかけることができるのか？　など、要件→設計→実装→検証→公開→対応というすべてのプロセスにわたってセキュリティの問題に注力する。セキュリティテストでは、プロのハッカーを呼んで、実際に攻撃させ、問題点の洗い出しをしてレビューしたという。脆弱性を発見・分析して、自動ツールに反映したりと、強化を図っている。

　ベン・ファティ氏は、このような不断の努力によって、セキュリティの強化が証明されたことを強調した。たとえばWindows Vistaでは、出荷後90日間で1つの脆弱性が発見されたものの、これは旧来のバージョンに起因するもので、「他社のOSやデータベースと比べて、Vistaの脆弱性は最も少ない」と胸を張る【写真7】。

【写真7】Windows Vista出荷後90日間における脆弱性の状況。他社のOSやデータベースと比べて、Vistaの脆弱性は最も少ないという

　ベン・ファティ氏は、「マイクロソフトが技術的、文化的な製品開発のアプローチからだけでなく、ユーザーに対する脅威の啓蒙・教育、政府・業界との協力なども含めて、包括的なセキュリティ対策を実施している」と述べて、講演を終えた。

(井上猛雄@RBB 2007年5月18日 22:18)

キーワード：

Vista セキュリティ

<img src="http://ad.rbbtoday.com/ads/?img_src=1;position=223"/>

関連用語

	IPsec スパイウェアフィッシング認証

ここへ来た人はこんなニュースも見ています

	【増田タワシの価格ウォッチ】Blu-ray対応ドライブ――HD DVDも再生可能なLG電子「GGC-H20N」は売れ行き好調？(2007年10月14日) 2007年Q1の迷惑メールのうちDHAが6割近くを占める～米SonicWALL調査：Enterprise(2007年6月11日) NEC、HD-PLC方式に準拠した家庭向けPLCアダプタ――小型化を実現したコンセント直結モデルなど(2007年6月11日)

関連記事

	FFC、Windowsのセキュリティ強化を実現するソフト「InfoBarrier5」を発売 (2007年5月18日) ソフォス、エントリークラス向けの統合メールセキュリティアプライアンス「ES1000」を発売 (2007年5月17日) ジャストシステム、法人向けにウイルス対策ソフト「Kaspersky」を販売 (2007年5月16日) アッカ、「KDDI IP-VPN」プランCに下り12Mbps/上り1Mbpsの企業向けDSLサービスを提供 (2007年5月16日) メールでの悩み相談に対応～エキサイトカウンセラー (2007年5月16日)

【特集】価格で比較！専用サーバガイド

09年新卒のみなさんへ
書類選考受付中です

Windows Vista

エミュレート

セキュリティ

プライバシー

スレンダーシェイパー

燃焼系トルネードステッパー『ツイスト＆シェイプ』

三省堂　電子辞書

ビリーズブートキャンプ

タカラ　人生銀行


	7/14	ＳａａＳの１年後、３年後
	7/18	携帯（技術・サービス）のプラットフォームオープン化
	7/23	地域ＷｉＭＡＸ事業化モデルと実践的戦略
	8/26	ＷｉＭＡＸとＬＴＥ－次世代携帯で何が変わるか
	8/29	ユーザから見たＮＧＮサービスの改良点、期待されるＮＧＮとは？


	7/9	携帯電話事業化における『合弁』・『協業』・『共通化』の手段比較
	7/9	お客様の声集積に遅れないためのＶＯＣ実務講座
	7/9	動き出した中国の環境ビジネス
	7/10	取締役の使命と果たすべき役割
	7/10	ＩＰＴＶのネットワーク・アーキテクチャ
	全セミナーリストへ