「デジタル社会に必要なのは“信頼(trust)”である。Microsoftでは,サービスや製品を提供するベンダーとコンピュータ・ユーザーに信頼をもたらすような取り組みに力を入れている」---。Microsoftの会長兼Chief Software ArchitectのBill Gates氏は米国時間2月14日,「RSA Conference 2006」の基調講演において,セキュリティに重要であるとする4つの要素を挙げるとともに,同社のセキュリティに関する取り組みを解説した。
同氏が挙げた4つの要素は,「trust ecosystem」「engineering for security」「simplicity」「fundamentally secure platforms」。
trust ecosystemとは,人々とビジネスの間に信頼や責任を生じさせる環境のこと。実世界では当然のように存在する環境だが,デジタル世界へも拡張可能だとする。例として,コード(プログラム)やデバイスに対するデジタル署名や認証制度を挙げる。加えてtrust ecosystemでは,ユーザーのアイデンティティの重要性が従来よりも増すとして,厳格なユーザー認証が必要であると訴える。「単純なパスワード認証では不十分。チャレンジ・レスポンス認証や二要素認証などが不可欠」(Gates氏)。
engineering for securityとはセキュアな製品を開発・提供すること。Gates氏は,すべての企業が,製品の設計段階からセキュリティを考慮しなければならないとする。また,セキュアなコードのベスト・プラクティスをベンダー間で共有することの重要性も説いた。
simplicityは,セキュリティを分かりやすくすること。特に,エンド・ユーザーに対してだけではなく,開発者にとって分かりやすくすることが重要だとする。よりセキュアなアプリケーションの開発を促すには,そのことが不可欠だという。
fundamentally secure platformsとは,セキュリティを考慮したプラットフォームのこと。ウイルス対策やアクセス制御,厳格なユーザー認証などの実現には,プラットフォーム・レベルでそれらが実装されていなければならないとする。同氏は,次期OSのWindows Vistaはセキュリティを考慮したプラットフォームであると強調する。
その一例として,マルウエアをダウンロードさせようとするWebサイトへアクセスした際,ユーザーがいくら「OK」をクリックしても,マルウエアがファイル・システムなどにはアクセスできないような仕様になっていることを,デモを交えて示した。
