■悪質サイトに自動検出で対応
米グーグルでクロームのセキュリティープロダクトマネージャーを務めるイアン・フェッティ氏は「グーグルではオンライン上の脅威に対して、ブラウザこそが第一線の防御であるという認識でセキュリティーを高めることに取り組んできた」と語り、ユーザーをあらゆるステップで脅威から保護することを目指していると説明。
グーグルにはフルタイムのセキュリティー担当エンジニアが250人以上働いており、さらにセキュリティー周辺分野には100人のエンジニア、クロームの開発チームにも専任のセキュリティー担当エンジニアを置いているとした。
米グーグルでセキュリティープロダクトマネージャーを務めるイアン・フェッティ氏
ウェブにおける脅威としては、フィッシングサイトやマルウエア(悪意のあるソフトウエア)配布サイトに対する取り組みを進めており、これまでにもセーフブラウジング(危険サイト対策機能)など各種のセキュリティー機能をクロームに取り入れてきたと説明。グーグルではウェブ検索のためにサイトをクローリングしており、この情報を利用してフィッシングサイトやマルウエアサイトへのアクセスに対して警告を表示するセーフブラウジングの仕組みをクロームに導入している。
グーグルでは、フィッシングサイトについては銀行やGmail(ジーメール)、ヤフーなどのログイン画面に似せたサイトを自動検出するようになっており、マルウエア配布サイトについても仮想マシン上で実際にサイトにアクセスし、どのような挙動を起こすかを監視することで自動的に悪質なサイトを検出する仕組みを構築している。
◆1日1万件を配布
フェッティ氏は「これらの検出を自動で行っていることが重要だ」として、グーグルが検出しているフィッシングサイトやマルウエア配布サイトは現在では1日1万件にも上っており、自動化することでネット全体への対応が可能になっていると説明。この仕組みは「セーフブラウジングAPI」として、ファイアーフォックスやツイッター、フェイスブックなど外部にも提供しており、6億人以上のブラウザユーザーを保護しているという成果をアピールした。
また、クロームでは6週間ごとに自動アップデートが行われるが、以前の調査では平均的な家庭ユーザーはブラウザのアップデートがリリースされてから1カ月程度たってから更新を行っており、ユーザーがアップデートを行う負荷を減らすとともに、何もしなくても最新版を使うようにすることが重要だと考えたと説明した。
◆脆弱性発見に報奨金
このほか、コンテンツを保護された環境下で動作させるサンドボックス機能や、各タブを独立したプロセスとして他に影響を及ぼさないようにする設計の導入、脆弱(ぜいじゃく)性の発見者に対して報奨金を支払うプログラムではこれまでに累計1億円以上を支払うなど、セキュリティーに対して取り組んできた結果、高速であるだけでなく安全なブラウザとして政府機関などからも高い評価を受けるようになったとした。
しかし、フェッティ氏は「ここで手を緩めるわけにはいかない」と語り、攻撃を仕掛ける側も常に進歩しているため、「その一歩先を行くことでユーザーを守っていく」という姿勢は今後も変わらないとした。(インプレスウオッチ)
