「製品開発のすべての工程でセキュリティを考慮する『Security Development Lifecycle(SDL)』の成果は確実に上がっている。例えば,SDLを適用したWindows Server 2003では,報告された『緊急』や『重要』の脆弱性の数は,“SDL以前”に比べて減少している」――。米Microsoft Security Business and Technology UnitのSenior DirectorであるGeorge Stathakopoulos氏は3月16日,IT Proの取材に対して,同社のセキュリティに対する取り組みなどを語った(写真)。同氏は,同社のセキュリティ関連イベント「SECURITY SUMMIT 2005」で講演するために来日中。

 Stathakopoulos氏は,2003年から同社が提唱している「Trustworthy Computing(信頼できるコンピューティング)」の一環であるSDLの成果を強調する。SDLは「製品品質の継続的向上」を目指す製品開発のライフサイクル。製品の「要求仕様」「設計」「実装(コーディング)」「検証」「リリース」「ユーザーからのレスポンス」――といったすべての工程においてセキュリティを考慮するという。

 成果は,「報告された脆弱性の数に表れている」(Stathakopoulos氏)。SDL以前に開発/出荷されたWindows 2000 Serverでは,出荷後1年間に報告された「緊急」または「重要」の脆弱性の数は42個,1年半に報告されたのは62個。一方,SDLを適用して開発したWindows Server 2003では,それぞれ13個および24個。「数だけではなく,深刻度も全体的に低くなっている」(同氏)。ただし,「数は減っているものの,まだ24個もある。この点については,失望を隠せない」(同氏)とし,「時間はかかるかもしれないが,さらに減らしていきたい」とする。

 とはいえ,「報告される脆弱性をゼロにすることは極めて困難だ。これはMicrosoft製品に限ったことではないだろう」(Stathakopoulos氏)とする。そこで同社では「脆弱性を見つけて修正すると同時に,“セーフティ・ネット”を用意する方針をとる」(同氏)。

 具体的には,「製品自体を“固く”したり,初期設定を厳しくしたりすることで,万一脆弱性が見つかっても,攻撃が“成功”しないようにしている。例えば,2003年8月に出現した『Blaster』が突く脆弱性については,Windows 2000 Serverも影響を受けた。しかしながら,(Windows 2000 Serverは“固い”ために)BlasterはWindows 2000 Serverに感染を広げられなかった」(Stathakopoulos氏)

(勝村 幸博=IT Pro)