Enterprise Watch
最新ニュース

マイクロソフト奥天氏「セキュアな端末のみアクセスできるWindows Server 2003 SP1を2004年上半期に提供」

~Security Tech Update/Tokyo 2003 特別講演

 株式会社IDGジャパンの主催により東京国際フォーラムで開催されている「Security Tech Update/Tokyo 2003」において11月12日、「マイクロソフトにおけるセキュリティへの取り組みと、今後の展望」と題してマイクロソフト株式会社、アジア リミテッド GTSC セキュリティレスポンスチーム マネージャーの奥天陽司氏による特別講演が行われた。


マイクロソフト株式会社、アジア リミテッド GTSC セキュリティレスポンスチーム マネージャー 奥天 陽司氏
 まず奥天氏は、「第2水曜日となる今朝、今月分の修正プログラムが公開されました。何らかの手段でのアップデートをお願いします」と会場に呼びかけた。

 続いて、これまで発生した代表的なワーム/ウイルスを時系列で示しながら「深刻度、ダメージが上がっている」点に触れた。「Nimda発生時には一週間会社に寝泊りし、これ以上悪いものは出ないだろうと思った」とのことだが、「Slammerはそれ以上だった。次は何が起こるか心配している」と話した。

 ではこれらの脆弱性に対する攻撃をなぜ止められなかったのか。同氏は、「対策が十分に伝わっていなかった。脆弱性はソフトウェアにはつきものだという話もあるが、個人的には落ち度だと思っている」とした。しかし「マイクロソフト製品を使わなければよいとの声もあるが、実際ネットでWeb改ざんの件数を見ると、Windowsが多いわけではない」とし、脆弱性は議論の対象ではなく業界全体の問題との認識を促した。


セキュアな環境へのマイクロソフトの取り組み

 マイクロソフトでは2年前から「Trustworthy(信頼できる)Computing」の考えの下、4つの柱でセキュアな環境への取り組みを行っている。


マイクロソフトではこのセキュリティ、プライバシー、信頼性、誠実なビジネスの4つの柱でセキュアな環境の実現を目指している。 ソフトウェアの設計、デフォルト設定の見直し、運用、コミュニケーションの各段階での取り組み

 このコミュニケーションにあたる告知活動では、同社ではブラスターワーム発生直後に「Protect Your PC」キャンペーンを実施、1億5000万部の新聞広告やテレビCMで告知を行ったが、「今までこうした講演で聞いても、見た人は2~3割程度で、メッセージを伝える難しさに思い至った」と語った。


同社の呼びかけで、脆弱性情報の対応前の公表は減少した。
 また同社でブラスターの発生からの流れを調査したところ、「セキュリティ研究家やソフトウェアベンダー、ハッカーの複雑で入り組んだ関係が明らかになった」とのことだ。「悪性コードの生成も、過去のハッカーは自分たちで脆弱性を探し出していたが、今ではコードをウイルス作成テンプレートに載せるだけのインスタントなものに」なっており、「修正プログラムはリバースエンジニアリングで解析され、今では脆弱性によっては公開から2週間でワームが出現してしまう」と語った。同社ではセキュリティ調査組織、悪用コード開発者ともコミュニケーションしているとのことだ。


製品に対策を盛り込む動きを加速

同社のセキュリティロードマップ
 そして同社では「Trustworthy Computing」への取り組みを加速するいくつかの方策を打ち出した。

 まず修正プログラムについて、Windows 2000 SP2/NT 4.0 SP6aへの提供を2004年6月まで延長する。同氏は「これらの環境を推奨するわけではなく、6カ月の間にセキュアなプラットフォームへの移行を検討して欲しい」と語っている。また「ITインフラ管理を月ごとにできるように」修正プログラムは、毎月第2水曜に定期的にリリースされるよう、10月から改められた。「ただしゼロデイ攻撃などへの緊急公開はありうる」としている。また企業の管理者などに向けて、セキュアな環境運用に関するドキュメントや技術資料をWebで公開していく。これらは実践ガイドとして今後大幅に拡充する予定だ。

 その後の取り組みとして、セキュリティロードマップに基づき、9カ月以内には修正プログラムと、その適用方法を改善する。具体的には、「インストーラを統合したほか、プログラム適用状況も管理できる「SUS 2.0」を開発中」とのことだ。またプログラムは個別モジュールではなく、ロールアップとして提供することで、導入時のリスクを低減する。サイズも35%、将来的には80%縮小する。また再起動の回数も減少させる。

 さらに12カ月以内に、「修正プログラムが未適用でもPCを保護できる「シールド技術」を強化し、Windows XP SP2とServer 2003 SP1に実装する」とのこと。シールド技術は、「ファイアウォールを高機能化し、デフォルト設定でオンに」するほか、メール添付ファイルの無効化機能の強化、ActiveXコントロールによるブラウザからの感染の抑止などが含まれる。またWindows Server 2003 SP1を2004年上半期に提供し、こちらでは「修正プログラムの適用状況や、ウイルス定義ファイル、ファイアウォールの実行状況などのセキュリティ用件でアクセスを制限機能を実装する」。そしてこの機能は「VPNでのリモート接続時やLAN、無線LANでの意図しない端末からの接続への拡張を考えている」とのこと。また、「Windows Update」や「Officeのアップデート」を1本化してMS Update(仮称)として提供する。


修正プログラムの適用の手間を軽減させる各種の取り組み Windows XP SP2に実装される「シールド技術」 2004年上半期提供予定のWindows Server 2003 SP1での「シールド技術」

脆弱性を減少させたセキュアな製品を目指した取り組み
 このほか製品品質の向上については、「SQL Server 2000の脆弱性が9から1に、Exchange Serverでは5から0に減少」するなど、効果が出始めており「修正プログラムの数は確実に減っている」とのことだ。

 また将来的には、「PC内に無菌室を作るといった概念で、承認プログラムだけを高い権限で実行する」もので、個人情報が含まれるアプリケーションウィンドウを、通常ウィンドウとは異なる方法で表示し、バックグラウンドしたり、他のウィンドウを前面にすると情報が消滅する機能をチップベースで実現する「Next-Generation Secure Computing Base」(NGSCB)を提供する予定だ。

 最後に同氏は、これらの取り組みについて「ユーザー環境を守ることが目的。企業などでも、全クライアントへの修正プログラムの緊急配布が可能か、などの対策手順や、ポリシーを明確にし、ガイドを活用して知識をためて欲しい」と語った。



URL
  Security Tech Update/Tokyo 2003
  http://www.idg.co.jp/expo/nws/
  マイクロソフト株式会社
  http://www.microsoft.com/japan/

関連記事
  ・ マイクロソフト奥天氏、「セキュリティ意識の底上げが必要」(2003/10/09)
  ・ 山口氏「インターネットインフラのセキュリティを高めるには相互理解が必要」(2003/10/23)


( 岩崎 宰守 )
2003/11/12 18:03

Enterprise Watch ホームページ
Copyright (c) 2003 Impress Corporation All rights reserved.