舞台裏で進行するMicrosoftのサイバーセキュリティの取り組み:Microsoftを再評価
Microsoftのセキュリティ対策が不十分だと思われているなら、それは同社のTrustworthy Computing(信頼できるコンピューティング)の取り組みが表に出ないためだ。
米Microsoftが「Trustworthy Computing」(信頼できるコンピューティング:以下、TwC)部門を設立してから10年がたった。Trustworthy Computingという名称は、例えば「大人の男性」のように、どこか矛盾した表現であるように思われることが多いが、それは本当に公正な評価だろうか?
Microsoftは製品のセキュリティ対策が不十分である、という見方は根強い。だがそれは、同社のセキュリティ関連対策の多くが表に出てこないためだ。Microsoftの本社、レドモンドキャンパスを訪れれば、多くの取り組みがなされていることに、ほとんどの人間は驚くだろう。いまだ大勢の記憶に残っている、2000年前後のマルウェア攻撃騒ぎとは対照的に、さまざまな取り組みが静かに進行している。
Computer Weekly日本語版 2013年7月24日号無料ダウンロード
本記事は、プレミアムコンテンツ「Computer Weekly日本語版 2013年7月24日号」(PDF)掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。
なお、同コンテンツのEPUB版およびKindle(MOBI)版も提供しています。
TwCは、当時のMicrosoft製品への猛攻を受けて設立された部門で、特定の製品に縛られず、全社的に取り組みを進めている。
テクノロジーの信頼を高める
TwCでは、Microsoftの創設者ビル・ゲイツ氏が、同社の成功に極めて重要であることに気付いたセキュリティ、プライバシー、信頼性に関する諸原則を各製品グループが順守しているかどうかに、常に目を光らせている。
TwCの統括マネジャー、エイドリエンヌ・ホール氏は、「製品チームの目がテクノロジーの信頼性向上に向くように、常に会社の体制を作り、調整を続けている」と話す。
その一環として、TwCはセキュリティ、地政学的な問題、オンラインの安全性、クラウドの信頼性に関してのポリシーや標準、手続き(セキュリティ管理やインシデントレスポンスなど)について、全社での統一を図っている。
また、Microsoftのセキュリティ開発ライフサイクル(SDL:Security Development Lifecycle)の改良にも絶えず取り組み、無料で全てのソフトウェア開発者に公開している。
TwCはMicrosoft自身の製品グループだけでなく、Microsoftのゲームコンソールやアプリストア向けに開発されたサードパーティーの全てのコンテンツの審査も行い、同じポリシーの適用を徹底している。
また、製品グループに対策を伝えるだけでなく、ユーザーのために脆弱性情報を提供する、セキュリティインテリジェンスリポートを年に2回発行している。
さらにTwCでは、モバイル、ソーシャル、クラウド、ビッグデータという、ビジネスの判断に影響する主なITトレンドに注目し、各トレンドがもたらすセキュリティの課題に対して、各製品が適切な対策を講じられるようにしている。
「課題への対応の仕方に製品間でばらつきが生じないように、多大な投資を行っている。新しい問題や新しい規制に気を配ることも、その投資の一環だ」とホール氏は話す。
TwCが注視している動向には、
- 世界のモバイルワーカー人口が2015年までに13億人、つまり全労働人口の37%に達するとみられていること
- 企業の65%が少なくとも1種類のソーシャルソフトウェアツールを導入していること
- 組織の70%がクラウドコンピューティングサービスを使用中あるいは使用を検討していること
- 今後5年間で非構造化データが80%増加すると予想されていること
が挙げられる。
セキュリティの鍵はパートナーシップ
それらを踏まえてサイバーセキュリティを考えると、アイデンティティーおよびアクセス管理、モバイルマルウェア、クラウドのセキュリティ、犯罪目的でのビッグデータ活用への対策に力を入れることになる。
TwCの傘下には、以下のようなセキュリティ関連組織がある。
続きはComputer Weekly日本語版 2013年7月24日号にて
本記事は抄訳版です。全文は、以下でダウンロード(無料)できます。
Copyright © ITmedia, Inc. All Rights Reserved.