IE8、プライバシー保護とセキュリティ対策のジレンマ：MSの最高プライバシー責任者が会見

[垣内郁栄，＠IT]

　米マイクロソフトの最高プライバシー責任者 ピーター・カレン（Peter Cullen）氏は11月11日に会見し、現在ベータ版を配布しているWebブラウザ「Internet Explorer 8」（IE8）について、「法規制の要求以上に最も高いレベルのプライバシー保護機能を提供する」と語った。

　マイクロソフトは同社製品のセキュリティホールに関連するアタックが頻発したことを受けて、セキュリティ、プライバシー保護を製品開発の最優先に据える「Trustworthy Computing」（信頼できるコンピューティング）の取り組みを2002年から行ってきている。カレン氏はインターネット上のプライバシー保護の重要性が高まっていることから「Trustworthy Computingは第2世代を迎えようとしている」と話した。

　第2世代のTrustworthy Computingの活動を象徴するのがIE8だ。マイクロソフトは第2世代のTrustworthy Computingの施策として、「侵入の最小化」「情報の管理」「攻撃からの保護」の3点を上げているが、IE8で強化したのは「攻撃からの保護」。具体的には情報漏えいや攻撃の踏み台になる危険があるマルウェア、ターゲットを絞った攻撃が増えているフィッシング詐欺の防止策を強化した。

　IE8（ベータ2）ではマルウェアやフィッシング詐欺からユーザーを守る機能として「SmartCenter」を組み込んでいる。IE8には履歴を残さずにWebサイトを閲覧できる「InPrivateブラウズ」機能もあり、カレン氏は「プライバシー保護を製品設計に一貫して盛り込んでいくのがカスタマにとって重要だ」と強調した。

　ただ、「IEのフィッシング詐欺対策には興味深いジレンマがある」とカレン氏は言う。ユーザーがアクセスしようとするURLがフィッシング詐欺を働こうとするWebサイトでないかを確認するには、IEが常にURLをチェックして、フィッシング詐欺のデータベースと照合する必要がある。

　カレン氏は「これはユーザーがアクセスするURLをマイクロソフトが共有することを意味する。疑念の声が上がるのは当然だ」と、セキュリティ対策とプライバシー保護の両立の難しさを指摘した。IEではURLと、PCのIPアドレスなど確認に必要な情報だけをマイクロソフト側に送信し、チェック後は情報を削除するなどの対応でユーザーの理解を求めているという。