Microsoftはもはや“セキュリティ後進企業”ではない!--「TwC(信頼できるコンピューティング)」担当副社長、セキュリティ強化戦略の“今”を語る
セキュリティ分野における最大の成果はSDLプロセスの確立にある
――Microsoftはここ数年来、積極的にセキュリティ強化戦略を推進しているが、それにもかかわらず、相変わらず世間からは厳しい目で見られている。こうした状況にフラストレーションを感じるようなことはないのか。
それは、非難の内容にもよる。セキュリティの強化に関しては、他社も努力しているとは思うが、当社ほどではないはずだ。現実に、たくさんの人が、公正な立場に立って、それを評価してくれている。
確かに、Microsoftは、これまでセキュリティ分野で物笑いの種になってきた部分がある。しかし、最近の記事やアナリストのレビューを見ると、そのどれにも「Microsoftに追随すべきだ」ということが書いてある。その意味では、現在のわれわれの課題は、むしろ非現実的な期待にどう対応するかということにあると言える。
その点で、まずご理解いただきたいのは、当社のコードには脆弱性があり、それをゼロにするのは不可能だということだ。脆弱性が発見されると、すぐに、「結局、Microsoftがセキュリティの脆弱性を減少させるために採用した『セキュリティ開発ライフサイクル(Security Development Lifecycle:SDL)』は失敗したわけか」といった非難がなされるが、決してそうではない。SDLでは、すべてのバグを除去するという目標が掲げられているが、それはあくまでも1つの願望だ。
ここで、少し現実的に考えてみていただきたい。そうすれば、「すべてのバグを除去する」ことがいかに大変であるかがわかろうというものだ。こういうことを言うと、「SDLにこれだけの資金と労力を注ぎ込み、あれほど宣伝をしておきながら、まだそういうことを言っているとは……」との指摘を浴びることになるのは十分に承知している。だが、私には、それが公正な非難であるとはどうしても思えないのだ。
例えば、先ごろ起きたミネソタ州の橋の崩落事故を思い浮かべてもらいたい。人間が橋を作り始めてから、これまで、どれくらいの歳月がたっただろうか(少なくとも2000年はたっているだろう)。その歳月の長さからして、当然、人類は橋の作り方を熟知しているはずだ。だが、それでも崩れることがある。このように、人は往々にして、他人に非現実的(で過大)な期待をかけたがるものなのだ。
――Microsoftが「Trustworthy Computing」(TwC:信頼できるコンピューティング)の戦略を掲げてから6年近くたつが、その最大の成果は何か。
セキュリティ分野における最大の成果は、やはりSDLだ。これにより、製品の設計時に文書化された“脅威モデル”を構築するプロセスが確立された。つまり、コードをビルド/構造化する段階で、脅威を軽減する手段が講じられることになるわけだ。
脅威モデルは開発の過程でアップデートされ、常に最新の状態が保たれる。SDLプロセスの最後の段階では、最終的なセキュリティ検査を行い、製品および除去したバグをチェックし、セキュリティの観点から出荷できる状態にあるかどうかを審査する。
ここが、これまでとは最も大きく異なる点だ。当社の製品を時系列に沿って見てもらえれば、年を追うごとに脆弱性の数が著しく減ってきていることにお気づきいただけるだろう。
――では、SDLプロセスを採用して開発された初のOSであるVistaのセキュリティには満足しているか。
どちらとも言えない。まず、一定期間における脆弱性の数をXPと比較すると、確かにVistaのほうが少ない。これには満足している。だが、同時にわれわれは、人間が書いた複雑なコードに脆弱性がまったく存在しないなどということはありえないのも知っている。問題は、“スイートスポット”がどこで、われわれがそこに到達できたかどうかということだ。
私自身の答えは、「まだ到達していない」だ。1つには、バグを自動検知するツールをもっと強化する必要がある。そしてこれは、業界全体が抱える課題でもある。当社は確かに数多くのツールをそろえてはいるが、これらが完全に成熟の域に達しているとは考えていないし、業界全体にしても、まだできうるかぎりの努力を尽くしたとは言い難い。
Microsoftでも人間の手によるコード・レビューを数多く行っており、それを通じて問題の検知に努めている――それはそれですばらしいことだと思う。ただ、人間であるからには、問題を的確に処理することもあれば、見落とすこともある。それに、コード・ベースが膨大になれば、人間の能力では解決しきれなくなることもある。
その点、ツールは改良しながら使い続けることができるし、バグの問題を効率的に改善することもできる。そういう観点から、われわれは、Vista全般の進歩において、特に自動化ツールを強化する必要があると考えている。
コンシューマーのセキュリティはだれが、どう守る?
――セキュリティの脅威の構図は、ここにきてどのように変化しているのか。
ここ数年で、コード自体の脆弱性は減少したが、その一方で、オンライン犯罪者の適応能力は確実に向上している。なかでも、ソーシャル・エンジニアリングの手法が使われることが多くなった。多くのコンシューマーがID窃盗の被害に遭うのは、一見何の問題もなさそうなURLのリンクをクリックし、誘導されるがままにユーザー名やパスワードを入力してしまうからだ。
また、長期にわたる調査で、企業への不正アクセス事件の多くが内部関係者の仕業であることが判明しており、手口としては、システムのアクセス権を悪用したり、設定の誤りを突いたりするケースが報告されている。大企業は、異種混在環境で複雑なシステムを運用しているため、攻撃者に悪用される設定ミスを犯しやすいのだ。
このように、セキュリティに対する脅威は、さまざまな要素が組み合わさることによって生じる。大切なのは、だれがどのリスクを負っているかを理解することだ。
――自分たちが負うリスクを軽減するために、企業はどういった対策を講じればよいのか。
リスクには2つの種類がある。1つは、企業が抱えている重要データを危険にさらすことで自身に降りかかってくるリスク。もう1つは相互依存によって生じるリスクで、これは状況によっては非常に測定しにくい場合がある。
2001年の米国同時多発テロ後、金融セクターは情報通信企業が自分たちのビジネスに及ぼす影響の大きさを思い知らされることになった。事件直後のもっと早い時期に復旧することも可能だったはずだが、通信インフラが機能しなかったため、それができなかったのだ。このような相互依存性を事前に把握しておくことは難しい。
とはいえ、ここにきて企業はサイバー犯罪を正しく認識しつつあり、文書化した情報セキュリティ・プログラムを設置して適切なリスク緩和策と徹底した保護策を講じようとしている。
しかしながら、それでもまだ課題は残っている。1つは、脅威モデルの変化だ。われわれは、いま講じているセキュリティ対策が現在の環境に適したものであるかどうかを常に確認する必要がある。
もう1つは、ビジネス・モデルもまた変化するということだ。具体的に言えば、VoIP(IP電話)、オフショアリング、グローバル・ソーシング、どこでもアクセス(anywhere access)、ネットワーク非境界化などの登場に伴うビジネスの変化だ。企業はこうしたビジネスの変化に応じて、「リスク・モデル」「それがビジネスに与える影響」「リスク緩和策」といったものを検討しなければならない。
――Microsoft製品の欠陥を調べ上げて公開する独立系セキュリティ調査コミュニティとMicrosoftの関係は、現在どうなっているのか。
関係は以前よりも強固になり、良好になっている。Microsoftがこのコミュニティを受け入れ、彼らの価値を理解したからだ。一方、コミュニティ側の人たちも、責任を持って脆弱性の公開に努めている。
彼らは、脆弱性を見つけて当社に報告することに徹し、それをフィックスするかどうかの判断は当社に任せている。言ってみれば、自らの情熱を追求するとともに、生態系全体のセキュリティが確保できるよう支援してくれているわけだ。
もちろん、バグを見つけてはそれを悪用した攻撃用コードをつくろうとする無責任な人もいないではない。こうした、多くの人を傷つけようとする行為にはいらだちを覚える。ただし、全体的に見れば、当社とコミュニティとの関係が良くなっているのは間違いない。
――では、コンシューマー側のセキュリティはどういう状況にあるのか。また、彼らはITの生態系にどういったリスクをもたらすことになるのか。
コンシューマーの影響力はきわめて大きいが、セキュリティの状況はかなり難しい状況にある。これについては、私がよく引き合いに出す、78歳で電子メールを使っている自分の母親の話をするのがよいだろう。
彼女はこれまでダイヤルアップを使っていたので、先ごろ私がブロードバンドを勧めた。その際、ファイアウォールを必ず設置するよう注意したところ、「ブロードバンドがなぜ火事を引き起こすの?」と聞き返された。要するに、母は、自分自身がシステムを管理したり、セキュリティ対策を講じたりすることにはまったく関心がなかったわけだ。
つまり、われわれは、知らない相手から送られてきた添付ファイルや不審なリンクをクリックしてはいけないということを、母のようなコンシューマーに徹底的に教え込まなければならないということである。ユーザーが、どんなダイアログボックスでも「OK」をクリックしようとすることに対して、何らかの手を打つ必要がある。
要は、IT業界全体が、私が言うところの「セキュリティ・ユーザビリティ」にもっと力を入れるべきなのだ。先ほども言ったが、私の母は、ファイアウォールの設定にもウイルス対策にも興味がない。そんな人にとっては、コンピュータも、電話やTVのようにスイッチをつけるだけで使えなければならないのだ。
――そんなコンシューマーのセキュリティには、だれが責任を持つのか。
企業のセキュリティが確保されている理由の1つは、CIOやCSO(最高セキュリティ責任者)、あるいはネットワーク・セキュリティ管理担当者といった責任者が決まっているところにある。では、コンシューマーの“CIO”はだれか。
それに対する明確な答えはない。だが、その役割にいちばん近いところにいるのは、たぶんアクセス・プロバイダーだろう。彼らはインターネットへの入り口になっているばかりか、ネットワーク・アクセスをコントロールして顧客のセキュリティを確保するツールを実際に提供してもいる。一方、デスクトップ関連ベンダーにも、よりセキュアなコードを生成し管理しやすくする義務があろう。
つまり、コンシューマーのセキュリティは、コンシューマー、アクセス・プロバイダー、ベンダーが共同で守らなければならないということだ。もちろん、3者で責任を平等に分割するのではなく、それぞれ明確な役割と責任を持つことになる。
コンシューマーは、オンラインにおける責任ある行動とは何かを認識する必要があるし、実際に認識していると思う。とはいっても、彼らにコードの脆弱性を取り除くことはできない。それは当然われわれの仕事だ。つまり、徹底したセキュリティ対策を行うに際しては、さまざまな個所にさまざまな措置を講じなければならないわけだ。そのためにも、だれが、どの部分に責任を負うかを、明確にしておく必要があるのである。
セキュリティ分野における政府の役割
――頻繁に発生するデータ漏洩事件が世間を騒がせているが、政府は、こうした事件の発生を防止するために、どのような法律を制定しようとしているのか。
データ漏洩に対処するための法律を制定すること自体は、すばらしいことだと思う。実際、Microsoftはこの分野の連邦法を支持してもいる。ただ、これらが現実的で扱いやすいものになるかとなると、いささか疑問も残る。
政府は、折に触れて、ソフトウェアに製造物責任法を適用する可能性をほのめかしている。仮にそれが本当に必要だとしても、問題は、その内容だ。
バグ・フリー・コードが義務づけられるのだろうか。――そんなことは、不可能だ。
適切なプラクティスの採用が義務づけられるのだろうか。――そうであるなら、当社はすでにソフトウェア開発ライフサイクル(SDL)を採用している。
あるいは、このほかにも、今日われわれが実践しそびれている、法律で定めるべき行動があると考えているのだろうか。そしてその法律は、取締当局にわれわれの行動を監視させるためのものなのだろうか。それとも、個人に集団訴訟を起こしやすくさせるためのものなのだろうか。――もしそういったたぐいのものだとすれば、この法律の周りに一大訴訟ビジネスが生まれ、当社も、セキュリティ(技術)に注いできた資金を訴訟に回さなければならなくなる。
そしてその場合、自宅のガレージで製品を開発している個人ディベロッパーはどうなるのだろうか。というのも、IT産業のすばらしさは、バリヤが低く、だれでも参入できるという点にあるからだ。――もし、製造物責任法が適用されれば、低かったバリヤが高くなってしまうことは言うまでもない。
さらに、オープンソースや非営利企業はどう扱われることになるのだろうか。――同じ過ちに対して、株主を持つ営利企業のMicrosoftは責任を問われ、非営利のLinuxは責任を問われない、といったようなことは許されないはずだ。
このように、製造物責任に関する議論は非常に複雑なのだ。
――政府は具体的にどのような役割を果たせばいいのか。
例えば、セキュリティ・サイエンスに関する基本的な研究開発は政府の役割だろう。実際、政府が取り組んでいるシステム構成のガイドラインによって、システム構成プロセスにおけるセキュリティは一段と強化された。
――ところで、あなたには今、何か不安に感じていることはないか。
2つある。1つは、自己満足に浸ってしまうことだ。ご存じのように、当社が全力を挙げてセキュリティに取り組んだ結果、その成果がようやく数字になって表れ、人々から「Microsoftがとうとう動き出した。他社も彼らに続くべきだ」とまで言われるようになった。技術者からは、「やるべき仕事は完了した――次は何をしようか」といった声さえ聞かれるほどだ。
だが、われわれが解決しようとしているのは、技術的な問題ではなく、犯罪に関する問題だ。19年間法執行機関に身を置いた経験のある人間として言わせてもらえば――この分野に従事する人ならだれでも同じことを言おうとするだろうが――、「自分の仕事は自分が必要とされない世界を作ることだ」と言いたい。
私自身は、それが現実になることは――少なくとも近い将来は――ないということもよく知っている。犯罪は太古の昔から存在しており、これまでもこれからも、なくなることはない。何となれば、悪意を有する者は新しい環境に適応する能力を持っているからだ。それを思えば、われわれには現状に甘んじている暇などない。
もう1つの不安は、脅威モデルが進化を続けていることだ。初期のインターネット犯罪は、ネットワークを探検する少年たちの仕業によるものがほとんどで、その多くは実害を伴わなかった。だが、今日のインターネット犯罪は「グローバル規模で」「匿名で」しかも「大量のターゲットを狙って」仕掛けられる。そのため、犯人を追跡するのは非常に難しい。オンライン活動が活発になればなるほど、彼らはその環境にどんどん適応していくことになるだろう。
この脅威モデルこそ、法律を守る市民が克服し続けなければならない課題なのだ。
(ジャイクマール・ビジャヤン/Computerworld オンライン米国版)
提供:Computerworld.jp
