Entry

OS のセキュリティ問題はユーザ体験の問題か

2009年10月24日

こちらから。

Windows 7では、企業のIT管理者が会社のネットワーク上で実行可能なアプリケーションを制御する機能や、USBメモリーのデータ暗号化など、セキュリティーの強化が図られているとはいえ、ユーザー体験全体に大きな変化があるような、全般的なセキュリティー改善にはなっていない。〔強調は aian〕

『Windows 7』を選ばない7つの理由 | WIRED VISION

要するに,お金も時間もない人は Windows 7 にアップグレードしない方がいいんでね?とかいったぐだぐだの話。実際,お金と時間に余裕のない向きがアップグレードする必要はないし,それはどこでも同じことなんだから,批判になってるのか分かりません。また,Windows ユーザに Snow Leopard を勧めるのは,もはやアップグレードの話ではなくなっていて,何が言いたいのか分からなくなっています。Macintosh vs Windows とかいったオッサンしか知らない構図を踏まえていないと,ピンとくる人は少ないはず。もうそういう時代じゃないんですけどね。

で,ひとつ気になったのが,引用の件。「ユーザー体験全体に大きな変化があるような、全般的なセキュリティー改善」ってどういう意味なんだろう,と。「ユーザー体験」というのは,user experience の訳なんだろうけれども,そもそも,OS のセキュリティ問題は user experience の問題なんでしょうか。

言うまでもないことですけれど,ざっくりと考えて,セキュリティ問題は OS だけで解決されるものではありません。ユーザの使い方や,コンピュータがあるインフラ等々も含めてセキュリティ問題だったりします。で,大切なのが,これらの役割分担をどのように切り分けるのか,という話。OS 環境が「ユーザ体験」として提供する機能っつのは,実際のところ,本来的な OS のセキュリティ対策の機能ではなくて,コンピュータの知識そのものが乏しいユーザ向けの機能なんじゃないだろうか,と。OS がユーザの操作ミスに対して果す責任の範囲は,いわゆる fool proof 範囲でいいはずです。

実際,Windows のセキュリティ対応は,Vista 以来見えないところ(API のレベル)で大きく前進しています。ハンドル単位でユーザの権限を指定することができるようになったし,暗号化の API も CryptoAPI から CNG(Cryptography Next Generation)に更新されている。こゆとこが,OS の本来的なセキュリティ対応なわけで,まず第一に取り上げられるべきことなんじゃないでしょうか。バカなユーザにどれだけ付き合うのか,なんつのは瑣末な話だし,付き合い続けたらキリがなくなってしまう。バカに対応したら,もっとすごいバカが出てくるだけ。

で,もっと問題のなのが,せっかく OS 側で新しいセキュリティ対応の API が出たにもかかわらず,ソフトウェアベンダ側で,これらの API をほとんど使っていないことだったりします。Vista 対応を謳ったソフトウェア製品も,単に「動きます」といっただけの話なわけで,Vista のセキュリティ機能を使い切っているわけじゃない。

API の話ではないけれども,Vista が出て間もない頃に,某所のソースを読ませていただいたところ,CLR でなんのためらいもなく strcat を初めとしたレガシーな関数を使っているのには脱力してしまいました(普通はセキュリティ強化版の関数(*_s)を使う)。こゆのにも対処しないといけないないなんて,Microsoft も大変だな,と。

Trackback
Trackback URL:
Ads
About
Search This Site
Ads
Categories
Recent Entries
Log Archive
Syndicate This Site
Info.
クリエイティブ・コモンズ・ライセンス
Movable Type 3.36
Valid XHTML 1.1!
Valid CSS!
ブログタイムズ

© 2003-2012 AIAN