マイクロソフト、Vistaのカーネル保護を回避できるAPIをリリース
米国マイクロソフトは12月19日、議論の的となっている「PatchGuard」と呼ばれるVistaのカーネル保護技術をサードパーティのセキュリティ製品が正当に回避できるようにするAPI(Application Programming Interface)のドラフトをリリースした。
セキュリティ・ベンダーは来年1月末まで、APIのドラフトをテストして改善要求を出すことができる。WindowsコアOS担当バイスプレジデントのベン・ファティ氏によると、APIの完成版は、マイクロソフトが2007年中ごろにVistaの「Service Pack 1」をリリースする時点で利用可能になるという。
マイクロソフトはまた、VistaカーネルのAPIに関するベンダーの要望の評価手順を詳しく記述した「Criteria Evaluation(評価基準)」と題するドキュメントを公開した。マイクロソフトはAPIのドラフトと同様に、サードパーティのセキュリティ・ベンダーに評価基準プロセスについて意見を求めている。
「これを公表するのは、カーネルに追加する新APIの確定プロセスを明確かつ公明正大にするためだ。パートナーや業界全体から、この判断基準の適否について意見を募りたい」とファティ氏は説明する。
ファティ氏によると、新APIと評価基準ドキュメントの提供は、PatchGuardに関しセキュリティ業界とEU(欧州連合)に広まっている懸念に対するマイクロソフトの回答の1つであるという。
マイクロソフト自身、カーネル・パッチ保護技術は、セキュリティ・ベンダーや悪質な攻撃者によるカーネルの不正な変更を防ぐうえで、また64ビット版Vista OSのセキュリティおよび安定性を確保するうえできわめて重要だと認めている。
同社によると、この技術はルートキットなどの問題を防ぐために特に重要だという。
だが、シマンテックやマカフィーなどの業界大手を含むいくつかのセキュリティ・ベンダーは、PatchGuardによってホスト・ベースの侵入防止やセキュリティ・ソフトウェアのタンパー保護などの機能を提供できなくなると主張していた。
これらの機能は、OSのカーネル・レベルのアクセスを必要とするため、シマンテックとマカフィーは、マイクロソフトはセキュリティ分野でのプレゼンスを強化するために、市場での支配的立場を利用して両社の可能性を不当に阻んでいると主張した。
こうした懸念を払拭し、EUなどの独占禁止にかかわる幅広い関心に対処するため、マイクロソフトは去る10月に、ベンダーが今後も高度なセキュリティ機能を提供できるAPIセットを用意すると発表した。
ファティ氏によると、今回のAPIのドラフトはセキュリティ・ベンダー26社の意見を取り入れて作成されたもので、4つの大きな分野に対応しているという。例えば、タンパー保護用のAPI、メモリ・ベースの制御と画像ローディング操作などが含まれる。このAPIは全体として、過去数カ月間の話し合いでセキュリティ・ベンダーが提起した大多数の問題に対処していると同氏は説明する。
「今後数週間で、セキュリティ・ベンダー各社と話し合って変更の必要性があるかどうかを調査する。全員がこのAPIセットが適切であると納得し、これをSP1で提供できることを願っている」(ファティ氏)
マイクロソフトでは、さらにベンダーとの連携を強化して要望を収集し、必要に応じて新APIを提供するとしている。
しかし同時に、マイクロソフトはサードパーティのVistaカーネルへの直接のアクセスを認めないという立場は変えていない、とファティ氏は強調する。
一部のベンダーは、条件を満たしたセキュリティ・ベンダーにカーネルの変更を許可することを検討するようマイクロソフトに求めた。彼らは、32ビット版Windowsではそれが許されていた事実を挙げ、64ビット版のVistaでも許可されるべきだと主張したのだ。
「当社はつねに表明しているように、サードパーティが一部の機能を実現するためにカーネル自体を変更することを望まない。それはサポートできないからだ。したがって、当社が定義するカーネルへのアクセスとは、ドキュメントによって定められたAPI経由のアクセスのことだ」(ファティ氏)
エンデルレ・グループの社長、ボブ・エンデルレ氏は、マイクロソフトのカーネル・パッチ保護技術は、「セキュリティ問題の中核を掌握する試み」であると見ている。
「マイクロソフトは同社製品の上で稼働する製品と、PatchGuardのようなOSの機能強化の両面でセキュリティに取り組んでおり、ある種の攻撃に対する回復力を高めようとしている」(エンデルレ氏)
また、エンドポイント・テクノロジーズのアナリスト、ロジャー・ケイ氏によると、今回リリースされたAPIは、特にEUで発言力のある弁護士の影響力を弱める効果があると同時に、PatchGuardの維持を可能にするというねらいもあるという。同氏は、「(マイクロソフトは)相手に本当のニーズを尋ねて回答を得るという一流の交渉術を用いた」と分析する。
「マイクロソフトは、カーネルに手を加えたいという(セキュリティ・ベンダーの)強い要求に応じることなく、『このAPIでそうしたニーズに対応した』と主張することができる。マイクロソフトの言い分は、カーネルを聖域にしておく必要があるということだ。これについては私も同意見だ」(ケイ氏)
ケイ氏は、アップルなど他のベンダーもサードパーティがOSカーネルをみだりに変更することを許していないと指摘している。
(ジャイクマール・ビジャヤン/Computerworld オンライン米国版)
