Ben Fathi氏

「Windows Vistaは発売後90日間で、1件の脆弱性しか発見されていない」――米MicrosoftでWindowsのセキュリティ全般を統括するBen Fathi氏はこう語り、セキュリティを強化したVistaの堅牢性を改めて強調した。

Microsoftは、2002年からTrustworthy Computing(信頼できるコンピューティング)と呼ばれるセキュリティ強化の取り組みを続けており、その中でセキュリティに関してはネットワークセキュリティ、保護技術、認証技術、相互運用という4点の方策から強化を図っている。

ネットワークセキュリティではIPv6への対応やネットワークアクセス保護(NAP)、保護技術ではWindows Live OneCareやMicrosoft Forefront、認証技術ではIdentity Lifecycle Manager 2007など、相互運用では標準規格に従った技術の採用やパートナーシップなどを進め、全般的なセキュリティの向上を狙う。

同社では製品の開発で「セキュリティ開発ライフサイクル(SDL)」と呼ばれる手法を採用。これは製品の要件設定の段階からセキュリティの専門家を入れて開発を進め、開発を進める段階ではツールによるコードチェックを行い、ハッカーによるペネトレーションテストも実施するなど、セキュリティを重視した開発体系だ。製品発売後に脆弱性が見つかった場合も、なぜ開発中に脆弱性が発見できなかったか、といった検証も行うそうだ。

開発のはじめからこのSDLが導入されていたWindows Vistaでは、こうした取り組みの結果、発売後90日で発見された脆弱性が1件と、他のOSと比較しても少ない数に収まった。ほかにも、SQL Serverでは2005年の登場以来、脆弱性件数がゼロを記録している。今年年末にも登場が計画されている「Windows Server 2008」(開発コード名「Longhorn Server」)も同様の取り組みでセキュリティが強化されている。

また、Fathi氏は、OSが64ビット化されることによるセキュリティの強化にも触れ、特にWindows Serverでは、32ビットバージョンが提供されるのはWindows Server 2008までで、これ以降は64ビットバージョンのみ提供、仮想化技術を投入することで32ビットアプリケーションを動作させる方針だ。