PR

 米マイクロソフトの最高研究戦略責任者クレイグ・マンディ氏は2008年4月8日、世界最大規模のセキュリティ会議「RSA Conference 2008」において、同社のセキュリティに関する新たな取り組み「End to End Trust(エンド・ツー・エンドの信頼)」を発表した。これは、業界全体が協力して、信頼できるインターネット環境を構築しようというもの。この取り組みについて、同社製品のセキュリティ責任者であるジョージ・スタタクポーラス氏とマット・ソムリンソン氏に話を聞いた。

■「End to End Trust」とは何か。

 マイクロソフトでは、安全で信頼できるコンピューティング環境を実現するための取り組み「Trustworthy Computing(信頼できるコンピューティング環境)」を2002年から展開している。この取り組みは功を奏し、マイクロソフトの製品は改善され、脆弱(ぜいじゃく)性は大幅に減少した。

 しかしながら、製品から脆弱性がなくなったとしても、ユーザーが危ない目に遭う可能性をゼロにはできない。例えば、ソーシャルエンジニアリング(ユーザーをだますような手法)により、マルウエア(ウイルス)をインストールさせられる恐れがある。こういった脅威にさらされないようにするには、インターネットに接続されたコンピューターの間(エンド・ツー・エンド)で、信頼を確立する必要がある。

 そこで、マイクロソフトでは「Trustworthy Computing」をインターネットに適用できないかと考えてきた。それが、先日発表した「End to End Trust」だ。

 「End to End Trust」を実現するには、「信頼できるスタック(構成要素)」が不可欠。ハードウエアやドライバー、OS、アプリケーション、やり取りされるデータ、ユーザーといった構成要素のすべてを信頼できるようにしなければ、エンド・ツー・エンドの信頼は実現できない。そのためには、ソフトウエアメーカーやハードウエアメーカー、セキュリティのコミュニティなど、業界すべてが協力する必要がある。当然、「Trustworthy Computing」の場合とは異なり、マイクロソフト一社で実現できることではない。

 「信頼できるスタック」を構成する「信頼できるユーザー」の実現には、適切な認証基盤を利用したユーザー認証が必要となる。もちろん、プライバシーとの兼ね合いがある。こういった議論では、匿名性やプライバシーが大きな問題となる。そこで、ユーザーが選択した「認証された情報」だけを提供できるようにする。

 例えば、特定の年齢であることさえ示せばよいサービスでは、ユーザーは年齢に関する認証情報だけを提供する。ある学校のある学年の生徒だけを対象にするコミュニティサービスに参加したい場合には、ユーザーはその学校の生徒であることを証明する情報と、年齢に関する認証情報を選択して提供すればよい。すべてはユーザーに任される。