【解説】
マイクロソフトのセキュリティ戦略――ゲイツ氏の“功罪”とは

問題の元凶から改革の旗振り役に転向したトップのメッセージ

（2008年06月27日）

SDLプロセスをホステッド・サービスでも導入できるのか

　ただし、Gates氏のメールは、Microsoftのその後の姿勢を決定づけたものの、「Microsoftのエンタープライズ製品は、セキュリティが弱い」という一般的なイメージを覆すには至らなかった。実際、「Trustworthy Computing」というメッセージがユーザーに届くまで、かなりの時間を要している。いや、現在でも同社は、同メッセージがユーザーに届いていないと腐心しているようである。

　その大きな理由は、Windows Vistaなど、SDLプロセスを経て開発されたMicrosoft製品に、依然として多くの脆弱性が発見されていることである。ソフトウェアにおいて脆弱性がまったくない製品を作ることがほとんど不可能であることや、Microsoft製品はユーザー数が膨大なため、競合製品より攻撃のターゲットになりやすいことなどは知られている。しかし、毎月複数の修正プログラムが配布されているため、同社のセキュリティ対策への評価は、芳しいものではない。

　前出のKark氏は、「MicrosoftはTrustworthy Computingが浸透し、SDLプロセスを採用したことで、（同社の）評価が一変すると期待したと思うが、そうはならなかった。Gates氏の号令一下で新たな取り組みが開始されて6年以上を経た現在、ようやくその取り組みが理解されつつあるというのが現実だ」と指摘する。

　一方、Pescatore氏は「Microsoftは今後、エンタープライズ分野ではなく、コンシューマー分野で最大のセキュリティ課題に直面することになるだろう」と指摘する。

　「Gates氏のメールから生まれたSDLプロセスは、Microsoftのエンタープライズ製品のセキュリティ強化には貢献するだろう。しかし、Web 2.0やSaaS（Software as a Service）といった新技術に対応するだけの柔軟性はない。Microsoftがこれらの技術／製品に対応したSDLを用意したという話は聞こえてこない。彼らは米国Googleなどの企業と直接競合している。同社の今後の課題は、エンタープライズ市場で導入してきたSDLプロセスを、ホステッド・サービスなどの分野でも導入できると示すことだ」（Pescatore氏）

　また、Microsoftのセキュリティ対策は、まだ不十分だと指摘するアナリストもいる。「Gates氏やMicrosoftは、セキュリティ対策を十分に強化していない」と指摘するのは、『Geekonomics: The Real Cost of Insecure Software』の著者であるデビッド・ライス（David Rice）氏だ。同氏は「Microsoftのセキュリティ対策は、以前と比べれば改善されているが、そのペースは鈍い」と指摘したうえで、以下のように語った。

　「Gates氏が一線を退く今、Microsoftはサーバ市場で50％程度、デスクトップPC市場で90％、ワープロ・ソフトウェア市場でほぼ100％のシェアを握っている。同社は市場競争で勝利したが、セキュリティ対策は後回しにされた。Microsoftにはセキュリティを後回しにした悪影響は及んでいないようだが、消費者は大変なしわ寄せを受けている。Windows Vistaのセキュリティ問題が後を絶たないことは、Microsoftのやるべき仕事がまだ残っていることを示す一例だ。現在でも、セキュリティは（Microsoft製品において）付け足し的なものにとどまっている」

前のページへ < ｜1｜2｜