マイクロソフト チーフセキュリティアドバイザー 高橋正和氏

[画像のクリックで拡大表示]

　「製品から脆弱（ぜいじゃく）性をなくすことはもちろん重要だ。だが、それだけでは解決できない問題が増えている。ユーザーが安全に安心してインターネットを使えるようにするには、従来とは異なる取り組みが必要だ」。マイクロソフトのチーフセキュリティアドバイザーである高橋正和氏は2008年11月27日、報道陣向けの説明会において、セキュリティに関する同社の取り組みを解説した。

　マイクロソフトでは、安全で信頼できるコンピューティング環境を実現するための取り組み「Trustworthy Computing（信頼できるコンピューティング環境）」を2002年から展開している。この取り組みが功を奏し、同社製品に見つかる脆弱（ぜいじゃく）性は著しく減っているという。

　例えばWindows Vistaでは、Windows XPと比較すると、出荷後1年間で見つかった脆弱性の数はおよそ半減。それに伴い、同社製品を狙う攻撃も減少しているという。

　同社の調べによれば、Windows XPパソコンを対象とした攻撃コード（攻撃プログラム）のうち、Windows XPやInternet Explorerといった同社製品の脆弱性を悪用しようとするものは42％。

　一方、Windows Vistaパソコンを対象とした攻撃コードのうち、同社製品の脆弱性を狙うものは全体の6％。残りの94％は、Vistaパソコン上で動作する他社製品の脆弱性を悪用しようとする。

　以上のように、Trustworthy Computingにより製品は安全になっているが、「それだけでは解決できない問題が増えている。このため、新たな取り組みが必要となっている」（高橋氏）。例えば、オンライン詐欺やプライバシーの侵害といった問題は、脆弱性ゼロの製品を使っていても発生する。そして、こういった問題の存在により、「ユーザーは漠然とした不安を抱き、インターネットを安心して使えないようになっている」（同氏）。

　そこで同社では、Trustworthy Computingで実現されるとする「信頼できる製品」に加え、インターネット経由でやり取りするデータや、やり取りする相手なども信頼できるようにする基盤作りが必要だと主張。つまり、業界全体が協力して、信頼できるインターネット環境を構築する必要があるという。

　そのための取り組みを、同社では「エンド・ツー・エンドの信頼（End to End Trust）」と呼び、今後推進していくという。この取り組み自体は2008年4月に米国で発表されているが、日本法人が説明するのは、今回が初めてとなる。

　同社では、「エンド・ツー・エンドの信頼」を実現するには「信頼できるスタック（構成要素）」が必要であるとし、ハードウエアやドライバー、OS、アプリケーション、やり取りされるデータ、ユーザーといった構成要素のすべてを信頼できるようにしなければいけないとする。

　例えば「信頼できるユーザー」の実現には、適切な認証基盤を利用したユーザー認証が必要となる。「エンド・ツー・エンドの信頼」では、ユーザーが選択した「認証された情報」だけを提供できるようにする。特定の年齢であることさえ示せばよいサービスでは、ユーザーは年齢に関する認証情報だけを提供する。

　ただし、言うのは簡単だが、実現は容易ではないという。「『信頼できるユーザー』を実現するための実験を米国で実施しているが、思った以上に大変なようだ」（高橋氏）。「エンド・ツー・エンドの信頼」の実現については、技術的には問題がないが、法制度や社会的なコンセンサスがハードルになっているという。

「『エンド・ツー・エンドの信頼』は、Trustworthy Computingの場合とは異なり、企業一社で実現できる取り組みではない。業界団体や政府機関、ユーザーなどと議論を重ね、できるだけ早期の実現を目指したい」（高橋氏）。