果てしなく続くセキュリティへの取り組み


 

みなさん、こんにちは、技術と開発を担当している加治佐です。

前回のブログでは、マイクロソフトのソフトウェア開発について書きました。

マイクロソフトでは、一般消費者向けから企業向けまで、幅広いソフトウェア開発をしていますが、今回のブログでは、そのすべてに共通で重要な課題であるセキュリティについて紹介します。
セキュリティというと、セキュリティ更新プログラムを連想される方は多いかと思います。セキュリティ更新プログラムは、毎月2日以降の二度目の水曜日(つまり、米国時間では毎月第二火曜日)に、定期的に全世界で同時配布を行っています。このブログは、2月9日(水)に投稿しますが、同じ日に月例の配布が行われます。ソフトウェアの脆弱性(ぜいじゃくせい)を狙った攻撃は、悪意のあるユーザーがソフトウェアの弱いところを巧みに探し出して攻撃を仕掛けます。地域や国によってセキュリティ更新プログラムの配布するタイミングを遅らせることは、お客様の利用されているPCやサーバー、ITシステムに大きな影響を与えかねないので、一気に世界同時に配布を行います。

では、ソフトウェアの脆弱性を減らすために、どのような取り組みをしているのでしょうか。1990年代半ば以降の爆発的なインターネットの普及ともに、コンピューターウイルスの蔓延(まんえん)しやすい環境となりました。マイクロソフトでは、脆弱性を発見するための特殊部隊を編成して、様々な解析と攻撃を重ねながら製品開発を行いました。製品出荷後は、脆弱性が見つかったら、緊急性に応じた対策を遅延なく行い、更新プログラムを迅速に配布してきました。その一方、悪意の攻撃者が、攻撃の高度化とスピードを加速したことから、見つかった脆弱性に迅速に対処するという従来の方針では明らかに不十分な状態となりました。具体的には、2001年に、”Codered”、 “Nimda”といったワームが蔓延し、多くのコンピューターが感染するという全世界的に大きな混乱を引き起こしました。更に、2001年9月11日の悲惨な「同時多発テロ」により、物理的、電子的な「セキュリティ」の確保が、全世界的に社会的な大きな課題になりました。このような背景の中、マイクロソフトでは、2002年に「Trustworthy Computing(信頼できるコンピューティング)」の実現を目指すというメモ(英語)をビル ゲイツが社内外に向けて発信しました。そして、セキュリティを製品の設計段階から一貫した、特別部隊ではなく開発者すべてがセキュリティを最重要視した「セキュリティ開発ライフサイクル (SDL)」という新しい開発手法への大転換を行いました。それ以降、ソフトウェアの脆弱性を減らし、安全性を高める上での大きな成果を上げています。

その一方で、依然としてセキュリティに対する不安が存在しています。昨年行われたユーザー動向調査によると、新しい潮流であるクラウドコンピューティングの利用を検討する上で、半数以上の方がセキュリティを不安要因としてあげています。他方、既に利用を始めたユーザーの6割は、セキュリティに関して満足しています。新しい技術に対しての信頼を築きながら、不安を和らげる必要がありますが、クラウドのセキュリティは、いくら技術的に十分な考慮がされていても、運用経験の蓄積や心理的要素も含めると、多少の時間が必要であるとの状況も理解できます。
マイクロソフトは、セキュリティを高めるための取り組みを、今後も重点的に続けますが、マイクロソフトだけでは解決できない多くの問題が存在します。セキュリティ問題やサイバー犯罪の軽減に向けて、業界各社の取り組み、業界による連携、政府関係機関との連携、国際連携などが非常に重要です。日本での取り組みとしては、内閣官房が2月と定めた「情報セキュリティ月間」にあわせて、内閣官房、警察庁、総務省、文部科学省、経済産業省、民間企業と連携しながら、情報セキュリティに関する普及啓発活動を官民連携の下に推進しています。

マイクロソフトは、これらの取り組みや連携に加えて、絵を交えたできるだけわかりやすい説明などを続けますが、利用者のみなさまにもセキュリティに対する理解を深めていただくことを、お願いしなければなりません。適切な知識のもとに、ITを上手く活用していきましょう。よろしくお願いします。


 
図 – ボット(BOT)感染率の世界地図 (データ元)
(解説:日本は、サイバー犯罪者による悪意あるプログラムで乗っ取られたコンピューターの割合が最も低い国ですが、他の国や地域からの攻撃がなくなるわけではありません。)

Comments (0)

Skip to main content