2008年10月27日月曜日

マイクロソフト、Webセキュリティの新プロジェクト「Web Sandbox」を始動

マッシュアップの高度化でWebコンテンツの安全性を向上

 米国Microsoftは、10月27日(米国時間)からロサンゼルスで開催する開発者向け自社コンファレンス「Professional Developers Conference(PDC)2008」において、Webコンテンツを隔離して保護する新たなセキュリティ・プロジェクト「Web Sandbox」を発表する。

 Microsoftによると、Microsoft Live Labsが開発したWeb Sandboxは、プロセスが確実に隔離された状態やサービス保護およびセキュリティの質を保ちながら、マッシュアップ・コードを利用できるようにする技術のプロトタイプだという。

 「Web Sandboxは、クロスブラウザ対応への開発効率を上げ、マッシュアップの利用形態を高度化し、サードパーティによる拡張開発体制を刷新するものである」(MicrosoftのPDC向け声明)

 Web Sandboxの公式サイトでは、同プロジェクトについて、「本質的に安全ではなく、サービスの質を予測するのがしばしば不可能であるといったWebアプリケーションの問題を解決するもの」と説明されている。

 同サイトによると、Webアプリケーションと連携しているWebガジェットやマッシュアップ・コンテンツ、広告などに全幅の信頼を置いたり、それらをiFrame内に隔離したりしている状態が、全体のセキュリティ・レベルの低下を招いているという。

 Web Sandboxの目的はこうした状態の解消にある。「いかなるアドオンも必要としない、安全な標準ベースのプログラミング・モデルを実現する、クロスブラウザ対応のJavaScript仮想化レイヤを開発した」と、Web Sandboxのサイトには記されている。

 Microsoft Live Labsは、Web Sandboxの公式サイトを通じて、ユーザーに協力を呼びかけている。「Web Sandboxの開発は完全に終わったわけではない。Web Sandboxが問題なく機能することを確かめる必要がある。複数のサンプルを同梱したテスト版を用意したので、ユーザーはぜひ使ってみてほしい。マッシュアップの安全性を高める、再利用可能なコンポーネントを提供することがわれわれの目的である。ユーザーとともに、セキュアなWebプラットフォームを作り上げていきたい」

 サードパーティのコンテンツをスクリプトで直接連携させたり、iFrame内に埋め込んだりしているWeb 2.0アプリケーションの数は増え続けている。

 Microsoft Live Labsによると、そのようなアプリケーションでは、直接連携しているコンポーネントは信頼性の高いものとして実行され、個人情報にもアクセスできる状態になっているのが一般的だ。しかも、そうしたコンポーネントは、個人情報のセキュリティ・レベルを低下させる、故意もしくは偶然のバグの影響を受けたり、Webアプリケーションのサービスの質を落とす原因になっていたりすることも少なくないという。

 一方、iFrameについては、「コンポーネントの隔離には有効だが、やはり完璧な安全性を提供してくれるわけではない」との見解を示している。

 iFrameにおけるセキュリティ・レベルが低下すると、悪質なActiveXコントロールによってインストールされたマルウェアが、ユーザーを特定の場所へ誘導したり、ブラウザ履歴を照会したりする危険性が高まる。またiFrameは、統合性の高いエクスペリエンスや、コンポーネントをまたがるデータの共有といったメリットが得られないという欠点も持っていると、Microsoft Live Labsは指摘している。

出典:コンピュータワールド