ここ数カ月,Microsoft製品の既知のセキュリティ・ホールに対する攻撃が相次ぐ中,米Microsoftは近日中に,セキュリティ向上のための包括的な取り組みである「Trustworthy Computing」の基本戦略の変更を発表するだろう。同社の幹部によれば,Microsoftの短期戦略はパッチ管理から,それより前のファイアウオールなどの「防衛線をセキュアにすること」へとシフトする。

 しかし,長期的には様々な問題がある。より良いセキュリティ対策を施すために,企業はコストをかけたがらない点である。セキュリティ対策にかける費用を正当化するのが難しいからだ。

 Microsoftのチーフ・セキュリティ・ストラテジストのスコット・チャーニー氏は,「セキュリティ分野では投資対効果が見えにくい」と語る。問題は,企業がセキュリティ上のぜい弱性に対する予算を確保していないことにあり,標準的なセキュリティ対策を適用することが結果的に対策コストを低くするだろうと主張している。

 チャーニー氏は,より良いパッチ管理ソリューションが必要なことを認めている。ただし,この問題と戦うために,直近の戦略としてMicrosoftは防衛線をセキュアにする方法を選ぶ。これは,様々なファイアウオール・ソフト・ベンダーと協力して,社外からの攻撃が社内のWindowsマシンに届かないようにすることを指す。

 Microsoftのこの動きは,同社のスティーブ・バルマーCEOがある講演で「シールド技術」の開発に言及した9月中旬に明らかになった。この講演の中で,バルマー氏は「当社が現在フォーカスしている最も重要な技術分野はシールド技術である。ウイルスの作者は今後も様々なウイルスを書き続けるだろう。ウイルスがPCに侵入する前にそれらをブロックすることが目標である」と語った。

 繰り返すが,Microsoftは防衛線によるセキュリティだけでは不十分だと考えている。現在,MicrosoftはTrustworthy Computingのゴールまで,道のりを3分の1ほど歩いてきたところだとチャーニー氏は話す。今夏に世間を大騒ぎさせたMSBlasterやSoBig.Fを超えるワームやウイルスの攻撃を防ぐにはまだ不十分だという。

(Paul Thurrott)

Windows & .NET Magazine Network, (C)2003. Penton Media, Inc.