調査会社の米Gartnerはこのほど,米MicrosoftのPassport認証サービスを利用している企業にその技術の実装を止めるようアドバイスした。Gartnerがこのようなアドバイスをするのは,この数カ月間で2回目のことである。同社は昨年,MicrosoftのWebサーバーであるInternet Infomation Services(IIS)を使わないように忠告している。IISのときと同様に,Passportに関する忠告もセキュリティに関するぜい弱性がきっかけとなっている。だが前回と同様に,今回もGartnerの話は大げさである。
Passportは,Microsoftが提供する認証サービスであり,ユーザーはPassportを使うことによってWebサイトやインスタント・メッセージング,電子商取引,その他のオンライン・サービスに対してシングル・ログオンができるようになる。MicrosoftはPassportをWebサービス・モデルに移行しようとしており,まもなく同社はWindowsネットワークを使用する企業が社内のユーザー認証をインターネット上のPassportアカウントにリンクさせる統合型認証サーバーをリリースする予定である。Microsoftは数億のPassportユーザーがいると主張している。もっとも,大半はPassportアカウントを必要とするHotmailのアカウントである。
先週Microsoftは,ハッカーがユーザーのアカウントを自由にコントロールし得るPassportのぜい弱性を修正したばかりだ。このぜい弱性こそ,Gartnerが企業に対して(特に金融機関や信販会社,電子商取引サイト,その他Passportを重要な商業目的に利用している企業に対して),Passportの利用を今すぐ停止し,11月にPassportの認証技術がよりセキュアなものに変更されるのを待つべき,とアドバイスした理由である。
IISに関するGartnerのアドバイスには驚いた。昨年,GartnerはIISをすぐに破棄して,よりセキュアなバージョン(Windows Server 2003に搭載されたIIS 6)を待つようにアドバイスした。それから現在に至るまで,同社は企業に対してどうするべきか有用なアドバイスを全くしていないのだ。言い換えると,同社は問題を確認しただけで,真のソリューションを提供していない。
Microsoftのスポークスパーソンは,「Gartnerのアドバイスは顧客にとって建設的ではない」と語っている。「私たちはもちろん改善を重ねているし,Passportをより信頼できるサービスにするために,きちんとしたプロセスと手順を重ねていると信じている」(同)。
