最近のForrester Researchの調査によると,Microsoft製品を使っているIT管理者の大多数が,Microsoftを信頼しておらずセキュリティの高いソフトを開発できるとも信じていない,というぶざまな現実が明らかになった。この調査では,売上金額10億ドル以上の会社やサイトでセキュリティを担当している人に調査をしたもので,興味深い結果が報告されている。

 例えば,77%の人がMicrosoftを信用しておらず,10人中9人がミッション・クリティカルなアプリケーションにはMicrosoftの製品をまだ利用していない。これはLinuxをはじめとする競合他社にとって心強い結果だろう。Microsoftはこういった傾向をどうすれば食い止めることができて,幅広いユーザーに広がっている製品の品質に関する不安をいつになればはね返せるのだろう。

 セキュリティを最重要視するというTrustworthy Computingを表明されてから15カ月が経過しているが,セキュリティの問題は依然としてMicrosoftが批判にさらされる汚点となっている。Microsoftもセキュリティに対する活動の成果が,まだはっきりとした形では現れていないことを認めている。同社の広報担当者は今週,「Trustworthy Computingのゴールに到達するのは簡単ではなく,私たちが目指している信頼性の高いシステムを実現するには何年,場合によっては10年以上かかるであろうことを理解している。パッチの管理など既存のセキュリティ技術の提供に関しては作業している。これは始まりに過ぎず,顧客が新たな進歩が確認できるように開発を続けている」と述べている。

 この調査には,管理者の反応についてまとめた記事もある。ここ数年間で発見された外部ハッカーに攻撃される可能性があるぜい弱性の大部分に関して,Microsoftはパッチを提供済みである。だが,その記事は「Windowsシステムのセキュリティを強化するためにパッチを適用している会社はほとんどない」としており,その代わりユーザーはMicrosoftを非難しているという。

 最近のSQL Slammerは典型的な例である。このワームに狙われたぜい弱性は修正プログラムが提供されており,SQL Serverの管理者がきちんとシステムを最新の状態にアップデートしていればあれほど破壊的な状況にはならなかったろうという。その記事では,Microsoftは比較的重要なWindowsのセキュリティ・ホール9個については攻撃のあった日の平均305日前にパッチをリリースしているが,管理者がインストールしなかったのが原因で問題が起きたと述べている。つまり,大抵のセキュリティに関する騒動は防ぐことが可能だったという。

 しかし,実際のWindows管理者が語ったことによると,Microsoftの場当たり的なパッチ管理の手法は,製品ごとに別々のパッチを提供するなど,実際のシステム更新を非常に難しいものにしている。最近提供されたWindows Updateや自動更新のソフトを使えばMicrosoft製ソフトの更新を自動かつ集中的に管理できるようになる。その一方,管理者はバグの通知や,更新ソフトのインストール,システムの円滑な運用といった作業を実現するための無数の方法と格闘している。こういった現実からすると,システムの再起動が必要となる多くのパッチは助けにはならない。

 今後を見てみると,間もなく登場するWindows Server 2003がTrustworthy Computingの活動後に登場する最初の主力製品として,重大なテスト・ケースとなる。ただし,Windows Server 2003の離陸は,イラクとの戦争や経済的な問題,Windows 2000のマイナー・アップグレードに過ぎない印象など,いくつかの理由でゆっくりとしたものになるだろうとアナリストは予測している。Yankee Groupは現在のWindows Serverユーザーのうち,今年中にWindows Server 2003にアップグレードする予定なのは12%に過ぎないという。この数字は,Windows 2000が登場して1年以内に30%のユーザーがアップグレードしたのと比べると大きく低下している。

 しかし,Windows Server 2003にアップグレードする最も大きな理由の1つとしてセキュリティの強化をあげることができる。Windows Server 2003のセキュリティが既存の製品より優れているかは議論の余地があるが,出荷されて最初の数カ月は話題になるはずだ。顧客が実際に製品を利用してセキュリティの問題が皆無かほんのちょっと程度で済めば,Microsoftは評判を回復するきっかけをつかむことになるだろう。一方,Windows Server 2003でも,Windows XPのユニバーサル・プラグ&プレイのぜい弱性のような危険性が高いセキュリティ上の問題が発生すれば,顧客はこれまでと同様の認識で製品を見るだろう。Microsoftがこれまで伝えてきたメッセージ以上に重要なものといえる。