Tweet |
回答先: MS社製ソフトに“のぞき穴パスワード”、同社ついに認める 投稿者 佐藤雅彦 日時 2000 年 4 月 15 日 03:47:53:
●マイクロソフト社がソフトウェアに「覗き穴」を仕掛け
ていたことは、4月15日の既報(6SR178)のとおりだが、
同社が興味深いのは、(メインフレーム型計算機システム
の宿命である“集中管理型”システムへの)「対抗メディ
ア」だと喧伝されて普及したパソコンという“分散ネット
ワーク型”システムを、商業的に支配しようとしてきたこ
とだ。
●MS社のこうしたビッグブラザー志向は、マーケットの
独占という商業面だけでなく、ネットワークの管理権限を
どう設定するかという点にも及んでいるようだ。
●MS社とノベル社の、MSバグをめぐる論争というか、
つばぜり合いは、システム設計の“社会哲学”の違いが現
われたまことに興味深い争いになっている。MSは、メインフレーム時代からの遺産であるUNIXシステムの管理方式
を真似て、管理者に万能的権限を与えるビッグブラザー的
管理方式を選んだ。ノベル社は、この管理権限を分散させ
て“危険を分散”させるべきだと主張している。
●それにしても、ビッグブラザー否定の風潮を商売のタネ
にしてテメエがビッグブラザーになったビル・ゲイツが、
反ビッグブラザーの“パイ投げゲリラ”に辱めを受けるの
は、文明論的な大局からみれば、起こるべくして起きてい
る微笑ましい事件なんだろうね。
●以下はMS社とノベル社が『Windows 2000』のバグを
巡って論争していた頃の、CNET日本版に出たニュースの
全文を引用したもの。MS社側はシラばっくれていたが、
この数週間後に「ネスケ技術者は萎えたチンポ野郎!!」の
一件が表面化し、同社のビッグブラザー志向と陰謀体質が
“今そこにある危機”だということが丸出しになった。
★ ★ ★ ★ ★ ★ ★ ★ ★
CNET Japan Tech News:
『Windows 2000』のバグに関する糾弾が始まる
By Joe Wilcox/日本語版 喜多智栄子
( Fri 3 Mar 2000 16:25 PT )
米マイクロソフトは、『Windows 2000 Server』の中でも非常に期待が寄せられていた技術の1つににセキュリティホールがあるという主張を打ち消すことができないでいる。
このいわゆるセキュリティホールがバグかどうかは、その主張の主が誰かによる。マイクロソフトはこの主張に異論を唱えている。対照的に、米ノベル――マイクロソフトの競争相手で、Windows 2000 Serverが発売になれば、ノベルは最重要製品の売上を奪われることになりそうだ――は全く違う意見だ。一方、サードパーティらは、今回の問題は、全く新しい『Active Directory』に対する習熟度の欠如から生じているのではないか、と述べている。
ノベルは最初、先月Windows 2000が販売開始される前日に、このセキュリティバグ問題を非難した。マイクロソフトはいとも簡単にこの主張を退けた。
「もしこれが本物のセキュリティバグだったら、マイクロソフトはそれを認めたはずだ」とマイクロソフトのActive Directoryのグループ製品責任者、ピーター・ヒューストンは述べた。「われわれはできるだけ迅速に修正を掲示してただろう。わが社がこれを否定したという事実が、見過ごされがちなのではないだろうか」
さらに詳細な検証をしてみると、この問題は、本質的な欠陥についてよりも、2社がお互いの競合製品に対して、異なるセキュリティ設計の見方をしていることが大きく関係しているのではないか、とアナリストたちは述べている。
Active Directoryは、Windows 2000サーバーの一部で、「電話帳」あるいは、ユーザー、アプリケーション、システム、ネットワーク機器などのネットワーク・コンピューティングの資産の管理役としての役割を果たす。『Novell Directory Services』(NDS)は同じような機能を果たすが、誰がその資産を管理する「権利」を持つのかについて異なるアプローチを採用している。
マイクロソフトは、UNIXの考え方を採用して、企業ネットワーク上のあらゆる資産に対してアクセス権および管理権がある「ドメイン・アドミニストレーター」の権限を、1人以上の人に与えることにした。UNIXシステムではこの権利を有する人を「ルート管理者」と呼んでいる。
「ルート管理者は、そのシステムに対して何でもできるのだが、Active Directoryにおけるドメイン・アドミニストレーターにも同じことが言える」とヒューストン。ドメイン・アドミニストレーターは、他の管理者やユーザーに対して権限を割り当てる人間でもあり、ネットワークの資産にアクセスするための権利を制限したり、アクセスを可能にしたりする。
ノベルは異なるアプローチを採用しており、マイクロソフトのモデルが安全ではないと批判しているのだ、とソフトウェアメーカーであるノベル(本社ユタ州オレム)の企業戦略担当者、ゲーリー・ヘインは述べた。NDSでは、1人の人間に全セキュリテイへのアクセス権および他人のアクセスを制限する権限を与えるのではなく、人事や給与支払い部などの秘匿性の高い領域へのネットワーク管理者のアクセスを制限できるようにしている。
ノベルは、Windows 2000のActive Directoryで秘匿性の高い領域での管理者の権限を剥奪しようとしてみたが、それが不可能だということを発見し、ノベルが呼ぶところのセキュリティホールを世間に公表した。
「企業には時として、たとえ(ネットワーク)管理者に対してでも、ディレクトリへのアクセスを制限しなければならないことがある」とヘインは述べた。「個人に対するサービス、(人事)、法律関係にはアクセスして欲しくないということもあるだろう。ノベルもActive Directoryも、このアクセス制限ができるようにしているのだが、残念ながらActive Directoryでは、それを取り消すこともできてしまう」
ヒューストンは、マイクロソフトは異なる設計アプローチを採用していて、ドメイン・アドミニストレーター――この管理者は信頼が置けて、高い役職レベルの人物でなければならない――に完全な裁量を与えているのだと主張した。
「ノベルは、一連のスクリーンショットを使用するなどして解説しているため、バグを発見したと判断する局面に達した過程がはっきりと読み取れる」とヒューストン。「われわれはその見方に賛同できないだけだ。ノベルが示しているのは、システムで意図した動きにすぎない」
ソフトウェアのバグ修正を提供する米バグネットの総括責任者エリック・ボーデンは、マイクロソフ
トのアプローチを批判した。
「仮に、あれは設計通りに機能しているのだから単なる『誤解』だ、とわれわれが言うとしよう。その場合、あれをバグと呼ばないのなら、設計上の欠陥と呼ばざるを得ないだろう」と同氏。ノベルの主張を正式に確認したバグネットは、管理上の特権を十分に与えられた人間なら誰でも、セキュリティをリセットして制限を受けていた資産にアクセスすることができることを発見した。
米ガートナーグループのアナリスト、マイケル・ガーテンバーグは、このセキュリティモデルがどのように機能するのかを正確に把握する責任は、Windows 2000 ServerおよびActive Directoryへ切り換えを行なう企業にある、と述べた。
ボーデンもこれに賛成で、「誰をアドミニストレーター・グループに入れるか」に十分考慮するように企業に警告している。
NDSのセキュリティモデルに欠点が無いということではない。企業は、管理者によるアクセスを制限することができるが、問題は、その管理者がこの権限を放棄しないまま仕事を辞めてしまったり、パスワードを公表してしまった場合に生じる。企業はアクセスを回復するにはノベルに問い合わせざるを得なくなる可能性がある。
米メタ・グループのアナリスト、カート・シュレーゲルは、Active Directoryの問題は、セキュリティの問題というよりも、むしろ、まだあまり知られていないことが問題なのだと述べた。「Active Directoryに移行した人はそれほどいない。ということは、頼りになる情報もあまりないということになる」