［米国］
マイクロソフト、「Vistaのセキュリティ強化に全社を挙げる」と強調

【Black Hat USA 2006 リポート】

（2006年08月07日）

　米国マイクロソフトは先週、ラスベガスで開催されたセキュリティ・コンファレンス「Black Hat USA 2006」に数人のトップ・エンジニアを派遣し、同社がWindows Vistaのセキュリティ強化に向けて真剣に取り組んでいるという姿勢をアピールするための説明会を開いた。

　マイクロソフトのねらいは、現在開発中のWindows Vistaが他のOSよりも高いセキュリティ性能を備えていることを、セキュリティ関連の世界で最も厳しい目を持つと言われる同コンファレンスの聴衆に納得してもらうことにあった。

　同説明会でマイクロソフトのエンジニアらは、Vistaでは、デバッギング・ソフトウェアで潜在的な脆弱性を容易に特定できるようにしたり、関数ポインタをコード化し、悪意のあるプログラムがシステムに被害を与えにくくしたりしているなどと説明した。

　結果、聴衆の多くは、Vistaが今年末に企業のIT部門に提供されるまで最終的な判断は留保したいとしたものの、マイクロソフトのセキュリティ関連の取り組みに対しては強い印象を受けたようだ。

　例えば、カリフォルニア技術研究所の情報セキュリティ担当幹部リック・エバート氏は、「マイクロソフトは、セキュリティ関連の開発作業を着実に進めており、正しいことを行っているように思えた」と述べている。

　同氏は、製品のセキュリティ強化に真剣に取り組んでいるということをユーザーに伝えるために、マイクロソフトが展開している広報活動に最も強い印象を受けたとしている。「人の心理とプロセスへの対処がセキュリティ問題の80％を占めるなか、技術的な部分を解決することは比較的容易だ」とエバート氏は語る。

　一方、米国コンチネンタル航空のCISO（最高情報セキュリティ責任者）のアンドレ・ゴールド氏は、Vistaのセキュリティに対するマイクロソフトの約束が守られるかどうかについて懐疑的な見方を示している。

　同氏は、「マイクロソフトの説明は立派で聞こえはいいが、今使っているサードパーティ製ソフトウェアに取って代わるほどの技術的な競争力はないというのが私の印象だ」と述べた。

　マイクロソフトのセキュリティ・エンジニアリング担当ディレクター、アンドリュー・キュシュマン氏は、「4年ほど前からマイクロソフトのソフトウェアを標的としたCode RedやSlammerなどのウイルスが数多く登場し、大きな被害をもたらしたという事実が、われわれの目を覚まさせた。今日、マイクロソフトは全社を挙げてより安全な製品を出荷することを目指している」と力説した。

　同氏によると、Vistaは、開発当初からマイクロソフトのソフトウェア開発プロセスである「セキュリティ開発ライフサイクル（Security Development Lifecycle：SDL）」に基づいて開発された初めての製品になるという。SDLには、社内のハッカー・チームによる侵入テストや、OSに含まれる古いコードやサードパーティ製コードをすべてチェックする作業など、いくつかのステップが含まれている。

　マイクロソフトがVistaのセキュリティ強化のために雇った20人のセキュリティ・コンサルタントの1人であるダン・カミンスキー氏は、「自社のソフトウェアに対する攻撃を防ぐために、これほど大きな投資を行っている企業はほかに見当たらない。マイクロソフトの施設に入るやいなや、個々の機能に対応する脅威モデルがすべて文書化された完全なガイドを手渡された」と語った。

　なお、カミンスキー氏は、Vistaプロジェクトに関して与えられた作業を7月中に完了したとしている。同氏は、「現時点で、VistaがLinuxやアップルコンピュータのMac OS XなどのOSと同等あるいはそれ以上の製品に仕上がっていると確信している」と述べた。

(エリック・レイ／Computerworld 米国版)