マイクロソフトの情報セキュリティ戦略を追う

　2月は、情報セキュリティ強化月間となっている。

　これは、内閣官房長官を議長とする情報セキュリティ政策会議によって、毎年2月2日が「情報セキュリティの日」に制定されたことにあわせて実施されているもので、マイクロソフトを事務局として、101社が参加している情報セキュリティ対策推進コミュニティも、この2月からは、「みんなで『情報セキュリティ』強化宣言!2008」をスタート。情報セキュリティ対策の関する啓発活動を積極化している。

　こうしたなか、マイクロソフトは、情報セキュリティに関する取り組みを強化している。マイクロソフトの情報セキュリティに対する取り組みを改めて追ってみた。

■PLAN-Jで取り組む「セキュリティとプライバシー」

　マイクロソフトは、今年6月までを最終年度とする中期経営計画「PLAN-J」に取り組んでいる。

　そのなかで、「セキュリティとプライバシー」を、日本の社会およびIT業界が抱える課題のひとつと位置づけ、その解決に取り組んでいる。

　マイクロソフトのダレン・ヒューストン社長は、「ITという社会インフラが、安心に利用できるということがわかれば、日本のユーザーはもっとITを活用するようになる。それが日本の国際競争力の向上にもつながる。セキュリティを高めることが、企業や個人の生産性をより高めることにつながる」と、情報セキュリティの重要性を訴えるとともに、PLAN-Jのなかに「セキュリティとプライバシー」を盛り込んだ理由を示す。

　また、マイクロソフトのチーフセキュリティアドバイザを務める高橋正和氏は、「個人ユーザーにとっては、コンピュータを守る、自分を守る、家族を守るのが情報セキュリティ対策の基本的な考え方。一方、企業ユーザーにとっては、コンピュータを守る、従業員を守る、取引先などの関係者を守るという考え方になる。これを実現するために、テクノロジー、ガイダンス、パートナーシップという3つの観点から、マイクロソフトは情報セキュリティ対策に取り組んでいる」と語る。

　とはいえ、情報セキュリティを取り巻く環境は大きく変化している。

　PCの利用層が広がり、コンピュータの基本知識を持つ人以外にも、多くのユーザーが利用している。セキュリティポリシーといった言葉を知らない企業ユーザーの現場や、デジタル家電製品との連動によって、これまでPCとは無縁だった人まで情報セキュリティの波が訪れている。また、利用層の広がりは、子供に見せてはいけないサイトを遮断するというような新たなセキュリティ対策も求められることになっている。さらには、スパムメールやウイルス、ワームを利用して詐欺のような手口を使うものも現れ、技術だけでは対策しきれないという状況にも陥っているのだ。技術対策だけでなく、個人個人のセキュリティ意識を高めることも必要とされているのだ。

　「マイクロソフトの調べによると、ユーザー企業においては、自社のセキュリティ対策への評価が低く、とくに不満と思う理由として、従業員のモラルやセキュリティに対する認識が低い点と回答したITProが61％を占めた。ルールの徹底という前に、まずは身だしなみや一般常識と同じように、セキュリティ文化ともいうべきものを植え付ける必要がある」と高橋チーフセキュリティアドバイザは語る。

　マイクロソフトでは、横断的なセキュリティ活動の必要性とともに、安心・安全をテーマにした活動の必要性、セキュリティ文化というアプローチがそれぞれ必要だとし、これらに向けた活動を積極化しているのだ。

■マイクロソフトが取り組む3つの観点

　では、マイクロソフトの取り組みを、テクノロジー、ガイダンス、パートナーシップという観点から具体的に見てみよう。

　テクノロジーという観点では、2002年から開始しているSecure Development Lifecycle（SDL）が、まずあげられる。

　SDLは、安全な製品を開発するための仕組みで、要求定義、設計、実装、検査、リリース、レスポンスという製品のライフサイクル全般において安全を優先した取り組みを行い、これらで蓄積したノウハウをアプリケーション開発者や、社内システム開発者にもフィードバックしている、というものだ。

　Windows XPは、開発の一部にSDLを適用した製品であり、出荷開始後6カ月間に公開された脆弱性は36件。これに対して、SDLに完全対応したWindows Vistaでは12件と3分の1にまで減少した。

　「Windows VistaとWindows Server 2008では、Network Access Protection（NAP）の提供など、セキュリティ対策に必要な機能を製品に実装するとともに、ネットワーク境界部、内部ネットワーク、OS、アプリケーション、データといった複数の階層における多層防御を実現している。また、セキュリティ対策状況の評価ツールであるセキュリティアセスメントツールの提供や、WindowsへのIPsecの実装といった取り組みも行ってきた。Secure by Design、Secure by Default、Secure by DeploymentというSD3という考え方のもとに、安全なコンピューティング環境の実現に取り組んでいる」

　そして、Windows Defender、Forefront、Windows Live OneCareといったツールの提供による、セキュリティ対策にも余念がないといえる。

　また、2007年7月には、マイクロソフトマルウェアプロテクションセンター（MMPC）の解析センターを日本にも設置し、シアトル、アイルランドの解析センターと連携しながら、日本国内で発生するマルウェアにも迅速な対応を図れるようにした。

■今後はITPro向けのセキュリティポータルも

　ガイダンスという観点では、Webを通じたガイダンスの提供や各種啓発キャンペーンなどがある。

　マイクロソフトでは、セキュリティポータルサイトを同社サイト内に開設。ここに情報を一元化しているほか、システム管理者向けセキュリティポータルの「TechNet Security」、開発者向けセキュリティポータルの「MSDN Security」、さらには、中小企業向けセキュリティポータル、地方公共団体向けセキュリティポータル、医療機関向けセキュリティポータルといったように、業種やユーザーごとに分類したセキュリティポータルを用意している。

　「これまで体系化されないままに増やしてきたという反省はある。これを体系的に再編するとともに、ITProを対象にしたセキュリティポータルを、今年7月までには新たに構築したい」という。

　個人ユーザー向けのセキュリティサイトに関しても、これまではマイクロソフトとMSNに分割していたものを一本化することで、より利便性の高いものへと再編している。

　また、セキュリティ啓発キャンペーンとして、2007年12月14日から2008年1月31日まで、IT Security Award 2008を同社サイトで実施。ITProを対象に、セキュリティクイズを通じて、セキュリティに対する理解を深めてもらうという取り組みも行った。参加者は4600人を突破しており、全問正解者は1000人を超えたという。マイクロソフトでは、クイズの全問正解者のうち、4人を2月14日に表彰する予定だ。

　「セキュリティクイズは一度終了したが、継続的にクイズに挑戦できる環境は用意しておきたい」（マイクロソフト技術企画室セキュリティ戦略グループ シニアマーケティングエグゼクティブの瀬川正博氏）としている。

　さらに、企業向けセキュリティ対策ツールの提供も積極化。IT管理者向けのツールとして、マイクロソフト製品の更新プログラムを展開できる「Microsoft Windows Server Update Services」、セキュリティ啓発を行うためのテンプレートである「セキュリティ啓発プログラム」、ネットワーク上のコンピュータのセキュリティ状態をスキャンして、マイクロソフトが推奨するセキュリティ設定やガイダンスをアドバイスする「Microsoft Baseline Security Analyzer」なども提供している。

■積極的なパートナーシップ展開

　そして、最後のパートナーシップでは、総務省と経済産業省の連携プロジェクトであるCyber Clean Centerへの参画、警視庁との技術協力協定の締結、情報セキュリティ対策推進コミュニティへの参加、GIAISへの結成などがあげられよう。

　「安全なインターネット環境を実現するために、さまざまな業界や団体との連携が必要。また、法執行機関との協力体制を敷き、ハイテク犯罪や児童ポルノ犯罪、違法・有害コンテンツの規制といった活動にも協力している」という。

　このようにマイクロソフトでは、情報セキュリティに関する活動をあらゆる方面から行っている。

　それでも情報セキュリティは、社会的問題として、多くの企業、ユーザーが直面する課題となっている。

　「IT業界だけで、情報セキュリティを叫んでいても限界がある。ITを利活用する企業や、個人がもっと情報セキュリティを意識するする必要がある。ITProが、従業員の情報セキュリティモラルや認識が低いと感じているようでは、日本のセキュリテイ文化の浸透はまだまだ。世の中全体を巻き込んだ形で、情報セキュリティ文化の浸透を促進していきたい」と高橋チーフセキュリティアドバイザは、高い志を掲げている。

　この2月を基点に、マイクロソフトの情報セキュリティ対策の取り組みは、さらに一段加速したといえそうだ。