PR

 米マイクロソフトでは、安全で信頼できるコンピューティング環境を実現するための取り組み「Trustworthy Computing(トラストワーシー・コンピューティング;信頼できるコンピューティング環境)」を2002年から展開している。

 Trustworthy Computingの一環として同社で実践されているのが、「SDL(Security Development Lifecycle)」という開発手順だ。SDLでは、製品の「要求仕様」「設計」「実装(コーディング)」「検証」「リリース」といったすべての工程においてセキュリティを考慮する。各工程では、開発部門とは異なるセキュリティ専門部隊による厳格なレビューを実施。レビューに合格しなければ、次の工程には進めない。

 SDLの導入により、同社製品に見つかる脆弱(ぜいじゃく)性は著しく減っているという。例えばWindows Vistaでは、Windows XPと比較すると、出荷後1年間で見つかった脆弱性の数はおよそ半減。それに伴い、同社製品を狙う攻撃も減少している。

 しかし今後は、従来の取り組みだけでは不十分になるという。インターネット経由でサービスを利用する「クラウドコンピューティング」が普及しているためだ。2002年に誕生したSDLでは、クラウドコンピューティングのような環境は想定していなかった。

 そこで今回、およそ5年ぶりに来日した同社副社長兼Trustworthy Computing最高責任者のスコット・チャーニー氏に、「クラウド時代の信頼できるコンピューティング環境」について聞いた。


■クラウドコンピューティングの普及で、マイクロソフトのセキュリティに関する取り組みはどのように変わるのか。

 まず、SDLをバージョンアップして、クラウドで提供するサービスにも対応できるようにした。従来は、SDLは数年ごとに出荷される製品を対象にしていた。ところがクラウドでは、毎日のようにサービスがアップデートされる。パッケージ製品とは、タイムスパンが大きく異なる。そこで新しいSDLでは、クラウドサービスに対するセキュリティの要件やレビュー方法などを盛り込んだ。

■クラウドサービスでは、時間的な制約により、慎重なレビューが難しくなることはないか。

 そのようなことはない。確かに、クラウドでは迅速なレビューが必要だが、品質を犠牲にすることはない。頻繁に手直しするのは、サービスの一部にすぎないからだ。新たなサービスをリリースするまでには十分時間をかけるので、パッケージ製品などと同様のレビューが可能だ。サービス開始後も、アップデートされる個所はサービス全体ではないので、慎重かつ迅速なレビューを実現できる。パッケージ製品と比べて、品質が劣ることはない。