［米国］
マイクロソフトとマカフィー、Vistaのセキュリティ技術情報開示を巡って非難の応酬

（2006年10月23日）

　米国マイクロソフトは10月20日、次世代OSのWindows Vistaに関する重要なセキュリティ情報の開示について、同社の対応が遅く、内容も不十分であるという不満がセキュリティ・ベンダーから再三表明されていることを受け、同社の開示プロセスの正当性を主張した。

　マイクロソフトは10月16日、管理コンソールのSecurity Centerを他社のセキュリティ・ソフトウェアがシャットダウンできるようにするためのAPIをリリースした。Security Centerは、Vistaに搭載されるマイクロソフトのモニタリング・パネルだ。

　シマンテックとマカフィーは、自社のソフトウェアを使用する消費者が、Security Centerのために混乱する可能性があると主張していた。各社のソフトウェアは、それぞれ専用の管理コンソールを搭載しているからだ。

　また、マイクロソフトはカーネル（Windowsのコア・コード）へのアクセスを遮断するKernel Patch Protection（KPP）技術についても、欧州の規制当局から改善を求められている。KPPは、ルートキットなど不正な侵入を試みるソフトウェアがOS内に潜入するのを防ぐための技術で、Vistaの64ビット・バージョンに搭載される。

　セキュリティ・ベンダー各社は、特定のセキュリティ機能を実現するため、カーネルへのアクセスは必要であるとしてマイクロソフトへの不満を表明していた。同社もこうした声に耳を傾ける姿勢を示したが、文書化作業が複雑なため、KPPを回避するためのAPIをリリースできるのはしばらく先になると説明している。マイクロソフトによると、これらのAPIはVistaのService Pack 1に収録されてリリースされる予定という。しかし、これまで出荷されたWindowsの他のバージョンでは、最初のサービス・パックのリリースがOSの発売から1年後になったケースもある。

　マイクロソフトとセキュリティ・ベンダーの間では、10月19日にKPPに関する電話会議が予定されていたが、技術上の問題で不調に終わったため、状況がさらに悪化した。19日夜には、マカフィーの社外弁護士がマイクロソフトの「空証文」を非難する声明を出し、セキュリティ・ベンダーが指摘する問題にマイクロソフトがきちんと対応していないという不満を改めて示した。

　これに対し、マイクロソフトも翌20日に反撃に出た。

　同社のセキュリティ担当副社長ベン・ファティ氏は声明を出し、「マカフィー側の弁護士がこのような不正確で挑発的な声明を出してきたのは残念なことだ。当社は、マカフィーや他のセキュリティ・パートナーに必要な情報を提供するため、これまでさまざまな措置を講じてきた」と述べた。

　同氏は、Security Centerをめぐって先週マカフィーとの間で行われた電子メールや電話のやり取りの詳しい内容に言及し、マイクロソフトとしては、いつでも質問に答える用意があると説明した。マカフィーの幹部は20日の段階で、この問題について今すぐコメントすることはできないとしている。

　しかし、カーネルAPIのリリースを待たなければならないという点に不満を募らせている他のセキュリティ・ベンダーも、マカフィーに同調する姿勢を示している。

　ファイアウォールとネットワーク・セキュリティ製品のベンダーであるアグニタムの販売／マーケティング担当ディレクター、ミハイル・ペンコフスキー氏は、自社のブログに、「この問題を解決したいと考え、マイクロソフトに連絡した。同社は前向きな決定を下したが、KPP APIが提供されるまでは具体的な評価ができない」と書いている。

(ジェレミー・カーク／IDG News Service ロンドン支局)