「Windows VistaやOffice 2007ではセキュリティは劇的に向上する。しかしセキュリティに完璧はない。今後も継続的に改善を続ける」――。米MicrosoftのChief Security Strategist(セキュリティ戦略責任者)であるDouglas Cavit氏は10月23日,ITproに取材に対して,同社のセキュリティに関する取り組みなどを語った。

継続的な改善が重要


米Microsoft Trustworthy Computintg Chief Security StrategistのDouglas Cavit氏
[画像のクリックで拡大表示]
 同社のセキュリティ戦略の柱は,「Technology Investments(技術への投資)」「Leadership&Partnership(業界とのパートナーシップ)」「Prescriptive Guidance(規範的なガイダンス)」---の3つ。特に重要視しているのは,「技術への投資」であり,その中でも力を入れているのは,Security Development Lifecycle(SDL:セキュリティ開発ライフサイクル)であるという。

 SDLとは,2003年から同社が提唱している「Trustworthy Computing(信頼できるコンピューティング)」の一環で,「製品品質の継続的向上」を目指す製品開発のライフサイクルである。製品の「要求仕様」「設計」「実装(コーディング)」「検証」「リリース」「ユーザーからのレスポンス」――といったすべての工程においてセキュリティを考慮するという。

 SDLを適用したWindows XP SP2やWindows Server 2003では既に成果を挙げ,報告される危険な脆弱性の数は減少しているという。次期OSおよびOfficeであるWindows VistaとOffice 2007では,製品開発の最初からSDLが適用されているため,状況はより改善されるとする。「これらの環境では,セキュリティは(従来よりも)劇的に向上するだろう」(Cavit氏)。

 ただし,「セキュリティに完璧はない」とCavit氏は強調する。「(一時期に完璧に見える状態になったとしても)セキュリティのために,ユーザーの利便性を損なう状況になっているかもしれない。また,攻撃者が“抜け穴”を見つける可能性もある。セキュリティは,開発のライフサイクルを通して,ボトムアップで継続的に改善する必要がある」(同氏)

ウイルス対策はOSに組み込まない

 「技術への投資」には,スパイウエア対策ソフト「Windows Defender」なども含まれる。MicrosoftではWindows Defenderを無償提供するとともに,Windows Vistaには標準搭載する。また,スパイウエア以外のマルウエア(悪質なプログラム)を駆除するためのサービス「Malicious Software Removal Tool(悪意のあるソフトウエアの削除ツール)」も提供している。

 このような状況を見ていると,「今後,スパイウエアだけではなくウイルスなども検出駆除できる機能がWindowsに搭載されるのではないだろうか。そうなれば,サードパーティのセキュリティ・ソフトを導入する必要がなくなるのではないだろうか」――といった疑問が浮かぶ。これに対してCavit氏は,包括的なマルウエア対策機能をOSに組み込む予定はないという。

 「Microsoftで提供するマルウエア対策は限定的なもの。マルウエアすべてを対策しようとすると,ウイルス定義ファイル(パターンファイル)を継続的にアップデートする必要がある。このためその分野にはMicrosoftは踏み込まない。包括的なマルウエア対策を実施するためには,サードパーティの対策ソフトを導入することを勧める」(Cavit氏)

地道なセキュリティ啓蒙を

 Cavit氏は,「Prescriptive Guidance(規範的なガイダンス)」に含まれるユーザーへの啓蒙・教育の重要性も強調する。「ユーザーをだますソーシャル・エンジニアリングの手法を用いた攻撃が増えている」(同氏)ためだ。

 具体的には,フィッシングやなりすましなどである。同社ブラウザの新版Internet Explorer 7でアンチ・フィッシング機能を備えるなどして技術的な対策を施すものの,技術的な対策だけではなく「ユーザーへの啓蒙が不可欠である」(Cavit氏)。

 そのため同社では,Webでセキュリティに関する情報を提供するだけではなく,オフラインでの活動にも力を入れているという。「技術以外の分野にも投資している」(Cavit氏)。例えば米国では,70を超える教育機関で,セキュリティに関する講座を開設している。

 国内でも“地道”な活動を続けている。例えば,高齢者を対象に全国各地で結成されている「シニアネットクラブ」において,セキュリティ関連のセミナーを実施している。また,小中学生向けに「インターネット安全教室」を開いて各地で啓蒙活動を実施したり,教育用のカリキュラムや資料を作成し配布している。

ゼロデイ攻撃対策を検討中

 Cavit氏は,最近頻発しているMicrosoft Office製品を狙ったゼロデイ攻撃についてもコメントした(関連記事:ゼロデイ攻撃が当たり前の時代に)。同氏によると,これまで確認した攻撃は,ターゲットを絞ったもの(いわゆる,スピア攻撃)であるという。セキュリティ・ホールを突くファイルを添付したメールを,攻撃対象へ送信するのである。

 前述のように,Office 2007では全面的にSDLを適用し,セキュリティを高めている。加えて「Office 2007では,ファイルのフォーマットを変更する。現行のバイナリ・フォーマットからXMLファーマットに変える。これにより,今まで確認されているような攻撃は難しくなるはずだ」(Cavit氏)。

 旧版のOfficeについても,積極的な対応を検討しているという。今までは,「ゼロデイ攻撃によってセキュリティ・ホールが見つかると,そのセキュリティ・ホールをふさぐパッチ(セキュリティ更新プログラム)を提供する」――といった具合に,対応が個別で,なおかつ“後手”に回っていた。現在は,同じような攻撃なら事前に包括的に防げる対応策を検討中だという。