「機能を追加するか,セキュリティを高めるか,という選択を迫られたら,迷わずセキュリティを向上すべきだ」。 米MicrosoftのBill Gates会長が全従業員宛てにメールでこう伝えたのは1月中旬のこと。「セキュリティの確保こそ同社の最重要課題」と宣言するとともに,開発中の製品のソース・コードを一から見直すよう指示したと伝えられている。
昨年秋に発売を開始したWindows XP上で,「バッファ・オーバーフロー」や「DoS攻撃」を受ける可能性があると報じられたのは記憶に新しい(該当サイト)。Microsoftは既に,修正モジュールを配布して対応を済ませているが,度重なるセキュリティ・ホールの発見により,製品の信頼性が疑問視されている感は否めない。そういった世論に対して危機感を強めた同社は,開発体制を抜本的に見直すことで,ユーザーの信頼を回復しようと躍起になっている。
セキュリティを向上させる改革案は大きく分けて2つある。1つは,初期設定でオンになっていた機能のうち,必要性の低いものはデフォルトでオフにするというものだ。例えば,Windows NT/2000にデフォルトでインストールされていたInternet Information Servicesは,利用しないまま放置しておくとセキュリティ・ホールの温床となりかねないため,Windows .NET Serverのベータ3では明示的に指示しないかぎり導入されない。
もう1つがソース・コードの見直しである。開発が最終段階に入っているWindows .NET Serverや出荷済みのWindows XPに対して,ソース・コード内に脆弱なポイントがないかどうか,一から洗い出す作業に着手した。セキュリティ・ガイドブックを配布し,専用のチェック・ツールでバグ・コードの発見,修正作業を進めている。Windows XPの修正モジュールはService Packとして提供する予定だ。
Microsoft製品のユーザーにとって,セキュリティが向上するのは歓迎すべきことだが,これにより影響を受けるのは製品出荷スケジュールだ。コードの見直し作業は,当初のスケジュールに含まれておらず,製品出荷が後ろにずれ込む可能性が高い。当初,夏頃の出荷が見込まれていたWindows .NET Serverだが,国内での年内出荷を危ぶむ声すらある。一部の企業では,ベータ版を利用して評価を開始しているものの,今後,導入計画の見直しを迫られる公算が大きい。
