技術中心のセキュリティからセーフティへ
MSが語る「脆弱性がなくなっても解決しない問題」とは?
2008/11/27
マイクロソフトは11月27日、同社のセキュリティに関する取り組み「Trustworthy Computing」についての説明会を開催した。チーフセキュリティアドバイザー、高橋正和氏は「従来の技術を中心としたセキュリティから、安心・安全という広義のセキュリティへと位置付けが変わってきている」と述べ、確実な認証やそれに基づくアクセス制御といった技術に裏付けられた「エンドツーエンドのトラスト(信頼)」が必要になるだろうと指摘した。
マイクロソフト チーフセキュリティアドバイザー 高橋正和氏高橋氏はまず、設計・開発時からセキュリティに留意するアプローチ「Security Development Lifecycle(SDL)」に基づいて開発されたWindows Vistaは、Windows XPに比べると公表された脆弱性が半分近くにまで減っていること、そしてサイバークリーンセンター(CCC)を軸としたボット対策プロジェクトによって、日本でのマルウェア感染は他国に比べるとある程度押さえ込まれていることに触れた。特にCCCと連携してのボット対策は、世界的に見ても例のない取り組みといい、2005年には2〜2.5%と見られていた感染率が1%にまで低下するなど、ある程度の成果が得られているという。
だが残念ながら、「たとえ脆弱性がなくなっても解決しない問題がだんだん比重を増してきている」(高橋氏)。
具体的には、インターネットの利用が広がるにつれ、オンラインでの行動(ビヘイビアの)プロファイリングやプライバシーの問題が浮上してきた。また、クラウドコンピューティングの浸透によるデータの集約、国や地域ごとの法律の違いといった問題も顕在化している。また、プロファイリングと裏表の関係にあるが、不正を行ったユーザーに対する追跡性の弱さによる「利用者の不安という問題もある。はっきりした不安というよりも、漠然とした不安感」(同氏)もあるとした。
この問題を解決し、オンラインで「信頼感」を実現するためには、「相手が本当にその相手かどうかを確認できることがポイントになる」と高橋氏。すでに、認証やID管理、アクセス制御といった要素技術はあるが、それらをシステマティックな形で連結していくことが必要だという。それも、ただ技術のみを実装するのではなく、社会的な要請や経済的要素などさまざまな議論を踏まえながら、信頼を醸成するための「スタック」を形作っていくことが今後の課題だとした。
関連リンク
関連記事
情報をお寄せください:
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
