(7)
「平均的ユーザー」に付き合ったりしてる？
by Caspian

私は繰り返し何度となく、エンドユーザーと会っています――御婆様方、「サッカーママ」タイプ、サラリーマン――そういう人のコンピュータは決まりきって、スパイウェア、ウイルス、その他のマルウェアがどうにもならないほど詰まっていて、その圧倒的大部分はMicrosoftのソフトウェアにあるセキュリティの欠陥を突くことを通じて感染しています。そういったコンピュータの除菌を、私はしょっちゅう任せられるんですよ。

あなたは（そしてあなたのチームのメンバーは）どのくらいの頻度で平均的エンドユーザーに付き合ってるんでしょうかね？ 大企業のセッティングにおいてだけじゃなく、中小企業において、そして（勝るとも劣らず重要な）世間の一般家庭のセッティングにおいて、ですよ。ジョー・アベレージ氏に付き合ってですね、Microsoftのソフトウェアにある特定のバグや設計上の決定（例：ほとんどのエンドユーザーが管理者権限で動かしている事実）を突かれることで、（彼個人のプライバシーや彼のデータの品位はさておき）彼のコンピュータのパフォーマンスがどれだけ酷いことになっているかを見さえすれば、Microsoftのセキュリティ戦略に重大な転換を迫ることにもなると思うんだけどなあ。

$LATEST_WINDOWS_VERSIONは前任者よりセキュアですよと何度となく謳われているにもかかわらず、私ときたら相変わらず平均的一般家庭に呼び出されて、Internet Explorerの穴（および/または設計上のマズい決定――例：ActiveXコントロールの扱いとそれが持ちうるシステム上のファイルを変更する能力）を通じてWindowsシステムに感染した数え切れないスパイウェアの類を除去しつづけてるし、（対ウイルスソフトウェアが広く利用されていることに反して）いまだに私が調査したエンドユーザーのシステムのほとんどから（Microsoft Outlookを通じてシステムに入り込んだ）ウイルスが少なくともいくつか見つかるような有様です。

ジョー・アベレージ氏のPCをセキュアにするために、あなたは何をしてくれてます？ 平均的ユーザーと少しでも交流を持つことはありますか？ もしないなら、なんでないの？

Nash: 個人的に私は、かなりの時間を割いてエンドユーザーと接しています――たいていは友達や家族ですが、Microsoftでの仕事を通じて会う人たちもいます。私には妻がいて、兄弟3人、姉妹1人、義理の姉妹5人、義理の兄弟3人、両親、義理の母、義理の父、叔父1人、叔母2人、達者な祖母が1人、子供3人（皆PCを使うような歳になってないけども）、甥5人、姪7人がいますし、技術サポートを求める親族からの電話を数多く受けています。彼らのフィードバックが我々のセキュリティ戦略上の決定をどれほど左右してきたかを思うと、実際驚くべきものがあります。例を2つ挙げてみましょう。

Blasterの発生直後に叔父のKenが、その騒動で私がどうしているかを心配して電話をかけてきました。叔父にはちょっと変わったところがあって（とはいっても彼は私の唯一の叔父だし比較対照がいるとはいえませんが）ときどき私のことを「甥っ子」と呼ぶんです。で彼が言うには「甥っ子よ、最近のBlasterとかいうやつでオレは何をすべきなんだ？」 私は自動アップデートをオンに、ファイアウォールをオンにすべきと指示しました。そのやり方を彼が訊いてきたとき、私はいくつかダイアログボックスを挙げて説明し、彼にセットアップさせました。この過程で私は重要なこと2つを学びました。1つめは、それらの変更を行うのはなんとも面倒な作業だということ、2つめは、それまでにWindows Updateのデフォルト設定を変えておくべきだったということです。

2001年にWindows XP初版を出荷したとき、我々はWindows Updateの開始を発表しました。当時、ユーザーがWindowsをインストールしたときに選ぶことになっている選択肢が2つありました。1) 更新があれば通知する、2) 更新があればダウンロードしてインストールできる状態にあることを通知する（デフォルト）、この2つです。1年ほど経ってWindows XP SP1を出荷したとき、更新をダウンロードしてインストールするという3つめの選択肢を加えました。問題は、我々がこの3つめの選択肢（ほとんどの人にとって最善の選択）を加えたときにデフォルトを2つめの選択肢（ダウンロードして通知）にしたままだったことです。そうしていた理由はよくわかりませんが、おそらくは深く考える者がいなかったのだと思います。で、Ken叔父さんとの経験がどんな影響をもたらしたか？ いくつかあります。まず我々はProtect Your PCキャンペーンのページ（日本語ページ）を設けて、ファイアウォールをオンにする小プログラムの提供や、自動アップデートのために3つめの選択肢をオンにする手ほどきを行いました。また、Windows XP SP2において自動アップデートのデフォルト設定の変更も行いました。

2つめの話は私の祖母、Estelleにまつわるものです（私は42歳になるが、彼女をバアちゃんと呼んでいることを明かすのはプライドが許さん、ってこともない）。バアちゃんが最初にPCを買ったのは私がMicrosoftに入って間もない、1992年のことでした。1995年に彼女は2台めのPCを買い――私はWindows 95に夢中で、彼女もそうなったのです。2001年の暮れ、私が親族全員にメールを出して、Windows XPを動かしてないかぎりPCの面倒を見ないと言ったものですから、祖母は慌ててXPマシンを買ってきていました。

2004年2月、私はフロリダにいるバアちゃんを訪ねました。出張から帰る途中だったので、そこに1日ぐらいしか居られませんでした。彼女の家に着くと彼女は、朝食を用意してくれて曾孫の最近の写真を見て、それからPCの調子を見てもらわないとと切り出しました。電源を入れてみると、おかしなことになっているのは明らかでした。マシンは非常に遅くなっていて、デスクトップアイコンの1ピクセルづつ描かれるところが見えるんじゃないかというほどでした。

彼女のマシンはスパイウェアに極度に感染していたとわかりました。彼女はオンライン調査を受けることで$10提供するというメールを受け取っていて、7回もやってたのです。彼女は調査の回答を埋めて$10請求しようとするたびに自覚のないままに、あるソフトウェアライセンス条項に合意してスパイウェアを自らのマシンにダウンロードしていました。これでは彼女は、$900したPCを70ドルで売ってしまったのと変わりません。彼女のマシンを再び動かすのには3時間もかかりました。1ヵ月後再び彼女を訪ねてマシンにWindows XP SP2（当時はベータ）をインストールしましたが、スパイウェアに関しては我々のほうがずっと大きな問題を抱えているということに気づきました。

Microsoftの対スパイウェア戦略へのビジョンと対スパイウェアソリューションを提供することへの注力は、この訪問を機に始まったんです。

今では出張するとき、バアちゃんの家で出くわしたような状況への備えをもう少しするようになっています。Windows XPのService Pack 2、Windows AntiSpyware[*]の最新ベータ、悪意のあるソフトウェアの削除ツールの今月号、これらの入った512MBのフラッシュメモリをブリーフケースに入れて持ち歩いてるんです。
_{* Windows Defenderのこと。2005年11月Microsoftは、Windows AntiSpywareからWindows Defenderへの改称を発表している。}

(8)
未登録マシンに対するWindowsの更新？
by Spy der Mann

拝啓 MicrosoftセキュリティVP様

私の知っているある人物は、Windowsの登録をしていません。彼のPCはスパイウェアがはびこっていて、私が推測するところではおそらく、彼のコンピュータはスパム送信、ウイルス拡散、その他諸々に利用されていたと思います。彼に技術サポートを頼まれたとき、私は彼にWindows UpdateからMicrosoft Anti-Spywareをダウンロードするように言ったのですが、彼の答えは登録が要求されるというものでした。

私の質問はこうです――もしWindowsの更新がインターネットを、ハッカー、スパイウェア、ウイルスから安全なものにするなら、なぜそれを登録済みWindowsに限るんでしょうか？ （私見ですが、これは鳥インフルエンザワクチンを不法滞在外国人に与えないようなものだと思います。）

これについて、どのようなプランをお持ちでしょうか？

Nash: これはいい質問で、我々が方針を定めるうえで苦心したものの一つです。まず、ひとつだけ明確にしておかなければなりません。Windows AntiSpywareはWindowsのライセンスユーザーのみに提供されますが、主に、非ライセンスWindowsシステムが感染した場合にそれがインターネットへの脅威を及ぼすのを避けるという目的から、優先度の高いセキュリティ更新はWindowsの非ライセンスユーザーにも提供しています。とはいえ、我々が非ライセンスユーザーに正規登録を呼びかけているのは言うまでもありません。

結局のところ、Microsoftの第一の責務は有償の顧客を守ることにあります。昨年1月、我々はWindows AntiSpyware技術をライセンス済みのWindowsの顧客に無償で提供するという決定を行いました。我々がGIANT Company Softwareを買収したときの計画では、スパイウェアのスキャンをMicrosoft.comの無料サービスとし、スパイウェアをブロックする技術を有料とする予定でした。頻繁なスキャンであればブロック能力に出費したくない人にとっての良い代替物になる、との考えがあったのです。対スパイウェア技術のベータを数週間運用するうちに、この仮説は成り立たないことが判明しました。というのは、スパイウェアの最初の感染を検知し除去するのは簡単だけれども、スパイウェアが他のスパイウェアを引き連れてくることはよくあり、第二第三の感染を検知・除去することはずっと難しいのです。というわけで我々はすべてのライセンス済みWindowsにブロック能力を持たせるという決定を下したのです。

ここで問題となるのは、なぜ非ライセンスユーザーをスパイウェアから守らないのか、でしょう。手短に答えるなら、スパイウェアが影響するのは主に感染したマシンだからです。ライセンス済みWindowsを所有することの価値に、スパイウェアから守られる、というのも含まれるのです。Windowsの所有にお支払いいただけなければ、保護はされません。

Windowsのライセンスを持たずに感染したあなたの知る人物に対して気の毒に思うというのは、私には無理な注文です。彼らは盗んだソフトウェアを使っているんです。Microsoftは大金持ちだから我々のソフトウェアを皆が違法に使っていようが構わないじゃないか、という理屈も耳にしています。まったく買い手のつかない話ですよ（シャレを言いたかったわけじゃなく）。他の様々なケースで議論することもできましょうが、レストランで食事して支払いをしないとかコンビニエンスストアでお菓子を万引きするとか電器屋からテレビを持ち去るとか、そういったことを我々は容認しません。今回の場合、あなたの知人はタダ飯を要求しつつ、なぜ我々がデザートをよこさないのか理解できないでいるんです。

もしあなたの知人たちが自家製の海賊版Windowsをインストールしているなら、私は彼らに正規製品を入手しインストールするよう勧告します。彼らのPCに海賊版Windowsがプリインストールされているなら、PCを売った会社について彼らに報告いただけなければなりません。我々はその情報を用いてベンダーに是正させるとともに、情報と引き換えにあなたの知人に正当なライセンスを発行いたします。

(9)
MSFT従業員参上
by Anonymous Coward

やあ、Mike、

君への質問は一つだけだ。なぜ僕らは、既知のセキュリティ問題を抱えたまま製品を出荷し続けてるんだ？

現場がどんなことになっているかを話したっていい。皆が製品を作ってる。「セキュリティプッシュ」と名のつくあらゆるものは、その終盤になって宣言される。彼らは2週間から3週間にわたり、潜在的セキュリティ問題を思いついてはそれにDREAD+VRスコア[*]を割り当てて、セキュリティに注意を払っているような振りをする。しかる後に管理者が自由裁量で「バー」を設定するが、これを下回るなら僕らは潜在的・顕在的セキュリティ問題を修正しない。このバーはたいていとても高く、8あたりに設定されることもあるが、それは見つかったすべての問題を修正する時間をスケジュール内に都合できる者がほとんどいないからだ。ちなみにDREADスコアが8というのは、欠陥が大多数の顧客に影響を及ぼし、Microsoftに重大な訴訟コストを課すことを意味している。非常に深刻なバグがバーの下をすり抜けることもあるが、それは顧客の10％以上に影響を及ぼさないってだけの理由でだ。いまや、この施行状況さえ冗談になってる。なにせほとんどの開発者が、DFDが何なのか、どれとどれをどう繋ぐのかをわかっていないんだから。
_{* 「Damage potential（潜在的損害）」「Reproducibility（再現可能性）」「Exploitability（悪用される可能性）」「Affected users（影響を受けるユーザー）」「Discoverability（検出可能性）」などの指標を用いるリスク算出方法。「恐怖、不安」の意である「DREAD」に5つの指標の頭文字を当てはめている。}

これでも、施行状況のもっともばかげた部分じゃない。もっともばかげた部分はセキュリティ「コードレビュー」だ。機能責任者がプリントアウトの山のような束を抱えて部屋に入ってきて、これに割り当てたほんの何時間かでレビューできるような面をしてる、それが実態だよ。それだけの時間でそれだけのコードにざっと目を通すぐらいなら辛うじてできなくもないが、セキュリティ問題の90％はこの「コードレビュー」の間、見過ごされたままだ。

なんだかんだあって結局、製品はほんのわずかだけしかセキュアにならず（最高にばかげたものの一部だけが修正される）、管理者は「製品はいまやフォートノックス[*]級にセキュアだ」なんて妄想を言い出す始末。
_{* ケンタッキー州ルイビル近郊にある軍用地で、米連邦金塊貯蔵所がある。}

僕に言わせりゃ、これは適正なセキュリティプロセスなんかじゃない、虫唾が走るようなシロモノだ。これを変えようってつもりはないのかね？

Nash: いやあこれはいい、しかしまた、難しい質問です。まず言っておかねばなりませんが、セキュリティ品質のための優れたプロセスであるセキュリティ開発ライフサイクル (SDL) は、会社として一貫性を持って行動することを確認するものとして定められています。これはつまり、高度に文書化され反復可能なプロセス、プロセスにどのように従えばよいかを伝える優れた教育、一貫してプロセスが踏襲されてることを確認するための説明責任、これらを持つということです。この説明責任の一部として存在し、実際にプロセスが踏襲されているかを会社に代わって私のチームが確認するものは、最終セキュリティレビュー (FSR) と呼ばれています。結局のところ製品を出荷する製品グループには、プロセスが踏襲されていることを確認する説明責任があるのです。

私はしばしばこんな質問を受けます。「セキュアでないコードを出荷したことで誰がMicrosoftをクビになった？」 私はたいてい、我々Microsoftはセキュリティについて今なお多くのことを学んでいる最中にある、我々が対処しているセキュリティ問題の大半はプロセスに対する不注意や軽視の結果というよりも、その時点で我々が理解していなかった攻撃の新しいベクトルとして発生するものだ、と答えています。

この取り組みを実現するうえで鍵となるものの一つは、会社全体にわたっての一貫した施行です。我々が全製品にわたって同レベルの厳格さを持っている、あるいは持たねばならないと言うつもりはありませんが（Windowsは、例えばゲームなどよりも厳密な検査を受けるべき）、我々はプロセスの適用を適切に行わねばならないのです。総体的にいえば、Microsoftの製品グループは一貫してプロセスを踏襲しています。とはいうものの、Microsoftが抱える従業員は60,000人以上にもなり、中には理解していない者がいても大きな驚きはありません。大きな驚きはありませんが、これは受け入れがたいことでもあります。我々のもとにプロセスを意識していないグループがあるなら、我々は教育問題を抱えているということになります。我々のもとにSDLを意識的に無視している、もしくは意識的に優先度を下げているグループがあるなら、よくても説明責任問題を、最悪の場合には人材問題を抱えていることになります。私が協力できる唯一の方法は、私がそれを把握し適正に対処できるようにすることです。あなたはこの質問を匿名で投稿しているわけですが、ぜひとも直接私に電子メールで連絡いただきたいし、直接会って話し合ってもよいと思います。私があなたの身元を漏らさないことは確約します。もしこれで不都合がおありでしたら、Microsoftの私の直通番号に電話してください（外線を使って――そうすれば発信者IDはブロックされますし、会議室からでも結構です）。その場合にあなたの名前を訊かないと約束します。

何度も申し上げてきたように、信頼できるコンピューティングイニシアチブは、2002年に始まりこれまで無視できない量の改善を行ってきた、一つの道程です。この事例において我々が問題を抱えているのは明らかで、我々がこれからも改善を行っていくには、この問題の修正が欠かせません。

(10)
SSLにいまだにAESがないのはなぜ？
by jonathan_lampe

なぜMicrosftのSSLスタックにはいまだにAESが入ってないんでしょうか？ Microsoft開発者の一人として、SSL実装においてAES（128bit、192bit、256bit）暗号化アルゴリズムを使うことのできる競合ソリューションを見る度にやられたと思うのには、もううんざりです。

（OpenSSLや――Mozillaブラウザを入れてもいい――Java SSLは、どれも以前からAESをサポートしています。SSH実装の大半も以前から備えています。）

Nash: これはいい質問です。AESがFIPSアルゴリズムとして認定されたのは、2001年にWindows XPがリリースされた後になってからです。これをWindows XP RTMに加えるのは基本的に不可能です。我々の暗号法へのアプローチは、我々の広義プラットフォームにおいてプラガブルモデルをサポートして交換を可能にするというものでしたし、それは現在も変わっていません。IEやIISはプラットフォーム（OS）の暗号法能力に依存しており、この能力の追加は、Mozillaでなされたようなブラウザの変更に対して、オペレーティングシステムの変更ということになります。

プラットフォームへのAESサポートを断念しててもよかったのでは、というのはもっともな話ですが、プラガブルな暗号は顧客に大幅な柔軟性をもたらします。Windows Vistaについては、我々が次世代CryptoAPIもしくはCNGと呼んでいるプラガブルな暗号法のサポートを追加しています。CNGにより、AESのサポートだけでなく楕円曲線暗号 (ECC) アルゴリズムおよびSHA-2ファミリーのハッシュアルゴリズムも追加されます。

現在我々は、この能力をダウンレベルに提供することの実現可能性と利点を検討しています。加えて、既存のAES実装がこれまで評価を受けていなかったこととは対照的に、我々の実装がFIPSのガイドラインおよび要件を満たすかの評価を受けることを予定しているとも申し上げておかねばならないでしょう。

(11)
VISTAになってもユーザーは管理者でなければならない？
by arminw

現在のWindowsシステムでは、ユーザーが管理者権を与えられてないと正しく動作しないプログラムが数多くあります。MSはプログラムをそんな風に書く開発者に、普通のユーザーステータスで充分とするよう圧力をかけないのでしょうか？ 最近のマルウェアの多くはひっそりと、ユーザーへの警告程度のこともせずに自らをインストールします。VISTAに何らかの警告を取り入れて、いかなる実行ファイルであっても最初の実行あるいはシステム奥深くへのインストールが可能となる前にパスワードが求められるようにはなりませんか？ それらが信頼されているソースからのファイルと確認されない限りパスワードをタイプしないようにと、ユーザーに伝えるようにはなりませんか？

Nash: Windows Vistaにおける重要な機能強化の一つにユーザーアカウントコントロールと呼ばれているものがあり、それが働きかける一般的ユーザーには大げさな名前に聞こえるかもしれません。詳しく見てみるとユーザーアカウントコントロールは2つの部分からなっています。1つめはWindows Vistaに対して行われる大幅な変更であり、これによって、システムが管理権を要求すべきケースについてはシステムを保護しつつも、システムが管理権を要求すべきでない箇所で要求しないようにすることができます。ここで言わんとしていることをわかりやすく説明する簡単な例を挙げてみましょう。現在Windows XPでは、コントロールパネルの日付と時刻アプレットを開くのに管理者ユーザーである必要がありますが、今にしてみると、このアプレットを開くのにユーザーが管理者であるのを必須とすべきではない場合もあります。例えば、通常ユーザーでも時計を見ることができて当然です。さらに、（システムログの正当性を保つなどの理由から）システムの時刻の変更には管理者権限を要求すべきですが、私がシアトルからボストンに出張した場合に現地時間を間違えず会議に遅刻しないといったことのためには、私にもタイムゾーンの変更ができるようになっているべきなのです。

従ってVistaにおいて我々はそれらの機能を分離し、通常ユーザーがする必要のあることはできるようにしつつ、保護の必要なことについては管理者を要求するようにしました。

もう1つ加えられたものに、我々が被保護管理者 (protected admin) と呼んでいるものがあります。これは管理者ユーザーで動かすときのデフォルトとなっているモードです。あるユーザーが管理者に設定されていても、彼らの基本的な実行は通常ユーザーとしてのものになります。管理者権限が要求されることを彼らがしようとした場合、システムはそのタスクを実行するために管理者への昇格をしてもよいかユーザーに問い合わせて、ユーザーが同意すればそのタスクのみを昇格します（これはセッション全体を昇格するUnixにおいてのスーパーユーザをオンにすることよりもセキュアです）。タスクが完了するとこの高権限プロセスは引き剥がされます。昇格にパスワードを要求するようシステムを設定することもできます。

あなたが書かれたように、これはアプリケーションの互換性とも大きな関わりをもっており、独立系ソフトウェアベンダ (ISV) がVista向けソリューションを作成する助けとなるよう、多大な作業が行われています。彼らのアプリケーションが通常ユーザーで動くのが適切なら、その動作を確実にしなければなりません。

既存のもの（レガシーアプリケーション）についていうと、ほとんどのアプリケーションは次の4つのカテゴリーに分かれると考えられます。1) そのままでも通常ユーザーできちんと動作するアプリケーション、2) 管理者権限を実際に必要とするアプリケーション（例えばシステムユーティリティ）、3) 管理者権限をチェックするが、実際には必要としないアプリケーション、4) 機能の一部において管理者権限を必要とするアプリケーション。

通常ユーザーで動くアプリケーションについては、我々は何もしません。同様に、管理者権限を実際に必要とするアプリケーションはしかるべき条件で動作します。そういったアプリケーションに通常ユーザーが遭遇した場合、家庭（すなわち、ドメインに属さないシナリオ）で通常ユーザーは、そのアプリケーションが適切に動作するようシステム昇格を行うために、管理者権限をもっている者にパスワードを入力してもらうよう促されます。我々はこれを「肩越し」昇格ケースと呼んでいます。

管理者であるかをチェックするが実際には必要としないアプリケーションについては、そのアプリケーションの開発者が通常ユーザーおよび管理者ユーザーの両モードでのテストに時間をかけたくないため、初期化時にチェック手続きが設けられている、という状況が一般的です。我々はそれらアプリケーションの詳細なリストをまとめており、我々が把握しているものについてはソフトウェアに小さな互換性修正 (shim) をそえることで、ユーザーが管理者レベルで動かしているかのチェック時に通常ユーザーであってもシステムが応答するようにしています。ユーザーは実際には通常ユーザーのままであり、こうすることでアプリケーションの互換性を保ちつつ、不正な昇格のリスクを避けることができます。

実行の一部において管理者権限を必要とするアプリケーションについては、大半のユーザーにおいて昇格に遭遇することがなくなるようにISVに向けた手引きを提供しており、その中で、最終的に権限を必要としないと見られるコンポーネントと必要とするコンポーネントとを区別してコンポーネント化するために、どのようにアプリケーションを再構成すればよいかを示しています。

(12)
OpenBSD
by hahiss

OpenBSDが非常に少ないリソースで設計から非常にセキュアにできているのに、Microsoftのリソースを総動員してもセキュリティ問題の大波を堰き止められず、すべての者に、Microsoftのプログラムを使ってない私たちにまで影響してるってのは、どうなんだろうね？

Nash: まず最初に、OpenBSDにはWindowsに含まれている機能の比較的小さなサブセットしか含まれていないことを指摘しておかねばならないでしょう。MicrosoftはWindowsにおいて、OpenBSD Orgが彼らのOSにおいて従っているのと同じモデルに従うべきだ、と主張されるかもしれません。問題となるのは、ユーザーがOSに切実に求めているものにはリッチメディアコンテントやハードウェアデバイスなどのサポートが含まれる、ということです。OpenBSDはカーネルを強固にすることに上々の実績をあげていますが、PHPやPerlなどといった、顧客によって広く使われている重要なソフトウェアについてもセキュリティ脆弱性の監査を行っているとは思えません。我々Microsoftはソフトウェアスタック全体、つまりはWindowsのハードウェア抽象化レイヤから始まって、メモリマネージャ、ネットワークスタック、ファイルシステム、UIおよびシェル、Internet Explorer、Internet Information Services、コンパイラ（C/C++、.NET）、Microsoft Exchange、Microsoft Office、Microsoft SQL Server、その他多くの全行程に焦点をあてています。ソフトウェア企業が顧客をセキュアにすることを目標とするなら、スタック全体をセキュアにしなければなりません。一つのコンポーネントを強固にするだけでは、それがいかに重要なものであろうが、実際に顧客が抱えている問題を解決しないのです。

第2に、OpenBSDのほうがセキュアだという表現は、完全に正しいといえません。脆弱性の数は過去3ヶ月だけを比較してみても、OpenBSDが11月、12月、1月で79あったのに対して、Microsoftは11でした（加えて、そこにはOfficeとExchangeそれぞれのものが含まれています――ですからWindowsの全バージョンについては実際には9です）。OpenBSDのサイトで報告されている数をご覧になって、これが本当か確かめてみることをお勧めします。

(Mike Nashが追加した「おまけ」の質問)
Windowsと他の雇い主の違い
by eldavojohn

Nashさん、Microsoft Corp.とData General Corp.というあなたの直近の勤務先2つで、一番大きな違いと一番似ているところはなんでしょうか？ これが一番訊きたいところですが、違いはあなたから見てどれだけ抜本的なものだったのでしょうか？（仕事の役割が変わったという様なことじゃなくて、一般的な違いについてです） 何が一番気に入って、何が一番いやでしたか？

Nash: いい質問です。まず、DGに働いていたのは結構前のことなんですよ（ビジネススクールに行くためDGを辞めたのは1989年でした）。とはいっても、DGは本質的にハードウェアの会社で、Microsoftはなによりもまずソフトウェア第一の会社だというのが、もっとも大きな違いに挙げられるんじゃないかと思います。DGはまず第一にハードウェア販売を事業の柱とすることに注力していて、ソフトウェアも商売上欠かせない要素だったのですが、それ自体に価値を見出しているわけではありませんでした。これと対照的にMicrosoftの基本的な前提は、どんなに難しい問題でもソフトウェアで解決するのがベストであり、さらにいうならハードウェアの力は優れたソフトウェアがあってこそ引き出される、というものなのです。

次に大きな違いは、DGがいつも他の会社との対比において自身を測っていた一方で（私がData Generalにいた頃、Digitalは一大関心事でした）、Microsoftは常に自己改革をしようとする会社だということが挙げられます。結果としてMicrosoftはより自己批判的ではありますが、それと同時に新たな機会と欠落、この両方に対処するための長期的投資も惜しみません。信頼できるコンピューティングイニシアチブがとてもよい例といえます。Blasterは登場して間もなく（Microsoft内外で）多くの人が私に、Blasterは、信頼できるコンピューティングイニシアチブが失敗したことの証しじゃないかと訊いてきました。私の反応は正反対でした。セキュリティを向上させるため時間をかけて注力してきたことに、私は心底喜んでいたのです。もしそうしていなかったら、事態はかなり悪化していたことでしょう。と同時にBlasterは、信頼できるコンピューティング (TwC) に関して我々がなさねばならない変更についての、いくつかの明確な指針を与えてくれました。何よりも、我々が学び続けるとともにTwCにも大幅な変更を加え続けなければならないことを皆に思い知らすことになり、それを計画に盛り込みさえすればよかった。このアプローチは主として企業文化から来るものであり、率直に言わせていただくと、DGの指導者が同じような視点を持っていたら今もDGとして存続していたかもしれません。Microsoftに30年以上も大きな変化と革新があった理由は、これに尽きると思います。ええもちろん、きつい仕事ですよ。