自社製品のセキュリティ強化に加えて、インターネットユーザーのセキュリティ向上にも力を入れているマイクロソフトは、新たなセキュリティに関する施策を発表した。セキュリティ啓発や企業内のセキュリティ対策教育用ツールなど、ユーザーのセキュリティを向上させる取り組みで、今後も同様の施策を強化していく意向だ。

マイクロソフトは2002年からTrustworthy Computing(信頼できるコンピューティング)と呼ばれる施策を展開、自社製品のセキュリティ強化だけでなく、インターネット環境のセキュリティ向上を図っている。

今回発表されたのは社内のセキュリティ対策を行うための電子メール、ハンドブックなどを作成するためのガイダンスやサンプル、テンプレートからなる「マイクロソフト セキュリティ啓発プログラム ツールキットおよびガイド」で8月24日から同社TechnetセキュリティWebサイトで提供を開始している。

また、社内のセキュリティ対策教育用ツールとしてセキュリティ啓発ポスター、セキュリティ対策冊子「パソコンを安心して使うために。」を提供。ポスターには必要な情報やメッセージを追記できるようになっている。こちらは21日から同サイトでダウンロード提供する。

同冊子は、NPO、自治体、学校などが初心者に最低限必要なセキュリティ対策を教えるために活用できるツールとしても利用でき、コンシューマ向けにも作られている。ダウンロード提供に加え、マイクロソフトが主催する全国IT実践キャラバン、NPO、学校を通じて年内に10万部を配布する予定だ。

さらに主に従業員数1,000人未満の中堅中小企業のシステム運用管理者や経営者が、社内のITセキュリティ環境を自己評価するための「マイクロソフト セキュリティアセスメント ツール」を10月後半から同サイトから提供する。ITインフラ、アプリケーション、運用、人材などのテーマに関する質問に回答すればセキュリティ対策レベルを評価できるというもの。

マイクロソフトの取り組み。ポスターやツールキットを提供するとともに、同社から提供する情報も通常のWebコンテンツだけでなく、ストリーミングの映像や体験式のバーチャルラボも

ガイダンスでは、利用者の用途や目的などにあわせて情報を提供していく

高橋正和氏

マイクロソフトのチーフセキュリティアドバイザー高橋正和氏は、攻撃ツールがネット上で販売されるなど、インターネット上の脅威がこれまで以上に国際化するとともに、特定の企業や国を狙うなど、脅威が局地化している現状を示しつつ、企業や個人がいまだに脆弱性のあるシステムを使い続けているなど、セキュリティ対策の不備を指摘。

マイクロソフトでは、標的型攻撃やフィッシング詐欺など、国内限定の脅威に対処するためにマルウェア解析センター(Microsoft Malware Protection Center: MMPC)を国内に設立。米レドモンド、ダブリンに続く3カ所目の拠点として7月に開設された。今後オーストラリアにも開設予定で、24時間体制でマルウェアを監視、解析し、同社のセキュリティ対策ツールである悪意のあるソフトウェアの削除ツール、Windows Defender、Forefrontなどへ結果を反映している。国内にMMPCを設置したことで、国内限定のマルウェアへの対処も期待できる。

国内で検出されたマルウェア。05年から2年間で10倍以上に増加。「ほとんどがボット」(小野寺氏)という

MMPCの役割。マイクロソフト内のセキュリティ関連2部門とも連携する

MMPCのプリンシパルプログラムマネージャー・Daniel Wolff氏

フィッシング対策協議会の情報収集・提供ワーキンググループの中田太主査

フィッシング対策ではパートナーシップも重視し、経済産業省の旗振りで設立されたフィッシング対策協議会とも連携。高橋氏は、これまでセキュリティ強化の声がけが「特定の人にしか届いていない」と現状を分析。協議会との連携などで国内限定の攻撃を採り上げることで、一般ユーザーが自分の問題として認識できるように対策を続けていく意向だ。

パートナーシップでは、セキュリティ以外の業界とも連携。ファッション雑誌にもセキュリティに関する情報提供をしてもらったところ、大きな反響があったそうだ

マイクロソフトセキュリティレスポンスセンターの小野寺匠氏は、従来のウイルスやワームのようにネットワークをダウンさせたりデータを破壊したりする致命的なマルウェアとは異なり、昨今のマルウェアは静かにPCに潜り込んでひっそりと個人情報を抜き出すような攻撃が一般化し、大きな騒ぎになっていないことを「危機的な状況」だと指摘する。

小野寺氏は一般ユーザーが、騒ぎがないために安全だと思って対策を怠ってしまうことを懸念しており、実際メール添付のファイルをダブルクリックして実行しボットに感染してしまうように「利用者の油断が増えているのではないか」と指摘する。

こうした問題に対して、マイクロソフトは注意喚起のメッセージを常に発信するとともに、企業や学校のセキュリティ教育に使える冊子やガイダンスの作成に使えるテンプレートを配布することで、インターネットユーザーのセキュリティ向上を実現していきたい考えだ。

自社製品に関するセキュリティ向上では、SDL(Security Development Lifecycle)にもとづく開発でセキュリティを強化したVistaやWindows Server 2008などに加え、セキュリティ関連ツールを開発環境の「Visual Studio」に取り込むなど、開発者の製品開発に役立つ機能を提供していく。

単にセキュリティ対策をするだけではなく、常時セキュリティの状況を確認していないと「意味がない」(小野寺氏)。小野寺氏は、セキュリティ対策に加えて全体を把握し、問題があれば管理者が強制的に設定を変えられるなどの環境が必要で、それによってコンプライアンス(法令順守)が実現でき、結果としてセキュリティが確保できるのが理想だと話す。「セキュリティだけを確保しようとするから無理が出てきている」(同)。

Windows Vista+Server 2008で検疫ネットワークができるなど、セキュリティ機能は向上しているが、それを把握する環境作りも必要

「ボットは非常に統制の取れたシステムで攻めてくる。自動バージョンアップやアプリケーションの入れ替えなど、分散コンピューティングはこういうことかと思う」と高橋氏。これに対して防御側の対策が「アンバランス」だという。マイクロソフトでは技術だけでなく、利用者のセキュリティ向上に役立つような情報提供も続け、「できるだけ幅広い層にセキュリティの重要性を伝えていきたい」(高橋氏)考えだ。

「(ネット上の)セキュリティの底上げは、それなりのシェアを持つマイクロソフトの責務。(国の政策である)セキュア・ジャパンにも貢献していきたい」(小野寺氏)

今後も同様の施策を継続/強化していく考え

小野寺匠氏