数字で見る限り、Microsoft の2012年はセキュリティに関して良い1年だったようだ。

2011年、Microsoft は100件のセキュリティアップデートをリリースした。だが2012年にはその数を83件に減らすことができた。深刻度については「緊急」な脆弱性は2011年の34件から2012年は35件と1件増加した。だが「重要」な脆弱性は2011年の63件から46件へと減少している。

Rapid7 の CISO であり、Metasploit の創設者でもある HD Moore 氏は InternetNews.com に対し、セキュリティアップデートが減少した理由を次のように語った。

「Windows の脆弱性に関しては、簡単に見つかるタイプのバグはほぼ出尽くし、修正が終わったと考えられる」

Microsoft の SDL プロセス

だが Microsoft に言わせれば、2012年の脆弱性の減少は同社のセキュリティ向上を目指した努力の賜物だということになる。Microsoft のグループマネージャである Dustin Childs 氏は InternetNews.com に対して次のように語った。

「Microsoft はセキュリティリサーチコミュニティと協働し、コミュニティによって発見されたバグの修正に努めている。それだけではなく、セキュリティ向上ライフサイクル(Security Development Lifecycle:SDL)プロセスにより、すべての Microsoft 製品のコードレビューを大規模に実施している」

SDL プロセスは2003年にスタート。Microsoft は2005年にはすでに SDL プロセスによって大幅にセキュリティが向上したと述べていた。Childs 氏は次のように語る。

「SDL は脆弱性の数と深刻度の減少を目指すプロセスだ。多層防護システムなどの導入により、Microsoft のソフトウェアとサービスのセキュリティは向上し、アタッカーが脆弱性を悪用することは困難になった」

2013年の Microsoft のセキュリティ対策

2013年、Microsoft はセキュリティ対策に引き続き力を入れていくという。Childs 氏は、次のように語っている。

「SDL は個々のセキュリティホールに対応するものではない。そうではなく、潜在的な脅威に対する保護強化を目指している。脆弱性自体を減少させ、未知の脅威に対しての保護を提供していくのが狙いだ。今後 Microsoft は SDL プロセスをさらに発展させ、新たな脅威に対応していく。単にこのシステムを維持管理するだけではなく、新たなアーキテクチャを取り入れ、脅威に対する保護機能を拡張していくつもりだ」

Moore 氏は2013年は興味深い年になるだろうと語る。Windows 8 では、長きにわたって Windows に悪影響を与え続けてきた脆弱性の多くが OS レベルで修正され、アタッカーがその欠陥を突くことが困難になっているのだという。

「Windows 8 では、さらなるセキュリティの向上がなされており、セキュリティ上の欠陥はかつてないほど減少している。Microsoft のセキュリティへの取り組みはまだその途上にあるとはいえ、他の大手ソフトウェアベンダーと比較すれば、そのセキュリティ問題への対応はずっと進んだものだと言えるだろう」

Sean Michael Kerner
Sean Michael Kerner は、InternetNews.com の主任編集者。

(この記事は、12月21日付けの英文記事の抄訳です)