 写真1●Gates会長の質問にMundie氏が答える形で進められた基調講演 [画像のクリックで拡大表示] |
米MicrosoftのBill Gates会長と同社Chief Research and Strategy Officer(最高戦略責任者)であるCraig Mundie氏は2月6日,同日から始まった「RSA Conference 2007」で基調講演を行った。両氏は,今後の企業ネットワークはIPsecが標準装備されているIPv6が主流になると強調。既にMicrosoftがIPv6への移行を始めていることを明らかにした。
2008年に現役を引退するGates会長が,RSA Conferenceで基調講演を行うのは今回が最後。6日の基調講演でも,Gates会長と最高戦略責任者であるCraig Mundie氏が同時に壇上に登場し,Gates会長の質問にMundie氏が答えるという形で講演が進行した(写真1)。Mundie氏は,Chief Software Architectの座をGates会長から引き継いだRay Ozzie氏と2人でGates会長の職務を引き継ぐ「後継者」の1人。今回の基調講演は「Gates氏引退」を強く印象付ける場となった。
IPv6でネットワークの隔離を容易に
 写真2●「セキュリティの脅威はかつてないほど深刻になった」と語るMundie氏 [画像のクリックで拡大表示] |
 写真3●「IPv6がIPsecを標準搭載していることを重視している」と語るGates会長 [画像のクリックで拡大表示] |
Gates会長とMundie氏による基調講演のテーマは,同社が注力しているセキュリティ技術である。Mundie氏(写真2)は,「面白半分で攻撃をする『スクリプト・キディ』の時代は去り,セキュリティの脅威はかつてないほど深刻になった」と語る。また企業活動や人々の生活がインターネットに依存するようになり,セキュリティの確保がますます重要になっている。Mundie氏は,セキュリティの保護に欠かせないのが,「Isolation(隔離)」と「Protection(保護)」,「Identity(識別)」を実現する技術だと指摘する。
Isolation(隔離)に関して同社が最も期待しているのが,Windows XP SP2やWindows Vista,Windows Server “Longhorn”(開発コード名)で標準対応した「IPv6」である。Gates会長(写真3)は「IPv6がIPsecを標準搭載していることを重視している。IPv6とIPsecは,これからのネットワークの基礎的なピースになる」と語る。IPsecを使えば,「IPsecで保護した安全なネットワーク」と「それ以外の安全ではないネットワーク」を簡単に隔離できるようになるからだ。
「(SQL)Slammerが流行したころ,重要なネットワークをほかから隔離するために,ネットワークを物理的に別にしたという顧客の事例を聞いたことがある。このケースでは,ネットワークを別にしたために,必要なアプリケーションを使えなくなるといった弊害が発生していた。IPsecが容易に使えるようになれば,このようなこともなくなるだろう」(Gates会長)
トポロジーからポリシーへ
またMundie氏は,IPv6とIPsecが普及することによって,「信頼するアプリケーションとの通信だけを許可する」「信頼するユーザーとの通信だけを許可する」といった,ポイント・ツー・ポイントの通信管理が可能になると指摘する。またもう1つ「IPv6が普及することで,ネットワーク保護が,トポロジーに基づく保護から,ポリシーによる保護に変化するだろう」(Mundie氏)と語る。
「従来のネットワーク保護では,『特定のネットワーク・セグメント』『特定のIPアドレス』といったトポロジーを基に,アクセス許可などを行っていた。これでは,柔軟性に富んだネットワーク保護は不可能だ」(Mundie氏)。それがIPv6の環境になると,ネットワークに接続する各デバイスが一意のアドレスで識別可能になり,デバイスごとに設定されたポリシーに基づいて,ネットワークへのアクセスなどを細かく制御できるようになる。アクセス認証などの基盤になるのが,IPsecになるという。
Gates氏はポリシーの例として,「更新プログラムが適用されているかどうかといった,クライアント・パソコンの『健康状態』のチェック」を挙げた。Longhorn Serverには,クライアント・パソコンの健康状態をチェックして,ポリシーが守られているものだけをネットワークに参加させる「Network Access Protection」機能が実装される。Gates会長はそのこともアピールした。
データは外で使ってこそ価値がある
Gates会長とMundie氏は続けて,Protection(保護)について説明した。どれだけネットワークを隔離したとしても,データは電子メールに添付されたり,ノート・パソコンに保存されたりして,外部に持ち出される可能性がある。「人々は,社外のパートナと連携したりするような柔軟性を求めている」(Gates会長)ので,こういった行為を禁止することはできない。そこで重要になるのが,データのProtection(保護)になる。
Gates会長は「データを活用するのであれば,ポリシーに基づいて保護できるようにするのがよい。個人が勝手に電子メールにファイルを添付して送信したりしていては,あて先間違いなどのリスクを回避できない。ExchangeやSharePointのようなポリシーに基づいて情報共有を管理できるソフトウエアを利用したり,DRMを使ってファイルを暗号化したり,ノート・パソコン内のデータを暗号化するWindows Vistaの『BitLocker』などを使ったりするのがいいだろう」と語った。
コンピュータ上でのアイデンティティ管理を容易に
Gates会長とMundie氏が最後に触れた話題が,「Identity(識別)」である。Gates会長は,「Identity(個人の識別)こそが,現在最もぜい弱な部分だ」と強調する。「人々は,パスワードを忘れてしまうのが怖いので,複数のシステムで同じパスワードを使い回している。これでは,1つのパスワードが漏れただけで,すべてのセキュリティが脅かされることになる。人間の記憶に頼るぜい弱なパスワードを補完する手段として,Smartcardなどのデバイスを活用するのが望ましい」(Gates氏)と語った。
Mundie氏は「現実の世界のアイデンティティ管理は,クレジット・カードや運転免許証,パスポートといった『物理的なトークン』を使うので,とてもシンプルだ。それに対してコンピュータ上では,文字をベースにしたパスワードを使わなくてはならず不便だ」と指摘する。Mundie氏はこのような現状を変える技術として,Windows Vistaに「CardSpace」という機能を搭載したと語る。
Windows VistaのCardSpaceは,ユーザーが自身の識別などに使う電子証明書(Credentials)を,GUIで扱えるようになる技術だという。ショッピング・サイトなどがパスワードを発行する代わりに電子証明書を発行し,それがユーザーのパソコン内に保存される。「ショッピングの時は,パスワードを入力するのではなく,GUIで電子証明書を選択して認証を済ますようになる。財布から物理的なクレジット・カードを取り出すように,電子証明書を取り出すのだ」(Mundie氏)。
CardSpaceで使う電子証明書の発行などは,「OpenID 2.0」や「WS-Security」といったオープンなセキュリティ・プロトコルに基づいているという。Mundie氏は「CardSpaceのような技術を普及させるのには,長い時間がかかるだろう。しかし,Webブラウザを使ったアプリケーションのセキュリティを保護するためには,CardSpaceやOpenID 2.0のような技術が必要になる。これらの技術があれば,Webアプリケーションの世界にエンタープライズ・クラスのセキュリティを提供できるだろう」と語る。
Gates氏は,「今回話題にしたテクノロジは,IPsecにせよ,OpenIDにせよ,すべてオープン・スタンダードだ」と強調する。セキュリティに関しては,技術的な囲い込みを行うのではなく,相互接続性を重視するという姿勢を,RSA Conferenceの聴衆にアピールした。
