MSセキュリティのこの10年:手痛い教訓をバネに - (page 4)

文:Ina Fried(CNET News.com) 翻訳校正:アークコミュニケーションズ、磯部達也

2007-12-12 08:00

動揺する外部の研究者

 Microsoftの動機と取り組みに対しては、外部の研究者らも懐疑的だった。

 しかしこの取り組みは、両陣営にとって功を奏した。2005年3月に第一回目が開催されたBlue Hatは現在年2回のイベントで、9月に行った直近のイベントは2日間に渡るものだった。毎回、Microsoftのエンジニアたちは、Microsoft製品の攻撃に使用できる多彩なテクニックを披露するハッカーたちと向かい合う。今年の招待客の中でおそらく最も対決色が鮮明となったのがWabiSabiLabiだ。Microsoftが招待したこのグループは、ちょうどコレクターがeBayで雑貨を売買するように、脆弱性を競売にかけるオークションサイトを運営している。同社はセキュリティホールにパッチを当てることができるベンダーや、腹の底に別の考えを持った人に喜んで販売する。

 WabiSabiLabiのRoberto Preatoni氏が9月のBlue Hatに参加したことは不愉快だったが、Cushman氏はMicrosoftのエンジニアにとって現在の脅威を理解することが重要だと語る。(Preatoni氏は11月、以前勤務していたテレコムイタリアのスパイ調査に関連していたとしてイタリアで逮捕された)

 「こういう苦痛を伴う教育を全部のチームに直接受けさせることは望んでいないが、しかしチームの各メンバーに対して、ことの重要性を心の底から理解させたい」とCushman氏は語る。彼は「ハッカーを招待して」と言った後で言葉を選びなおし、「セキュリティ研究者を招待して、自分が担当する製品の脆弱性を説明してもらうことほど、教訓が身につく方法はほかにはないだろう」と述べた。

 同社は最近、「Defend the Flag(旗を守る)」という演習を開始した。これはITの専門家とセキュリティ担当の新米社員がWindowsネットワークを設定し、その後これを自分で防御するという1日研修を受けるというものだ。

 「自分で設定して防御するネットワークが構成ミスや脆弱性で侵害されたとしたら、それは忘れないだろう」とCushman氏は語る。

 Microsoftがもっと対策を講じたり、すばやい行動が必要な分野を取り巻く教訓がたくさんある中で、Shostack氏にとって最も強烈な教訓の一つが、前回のBlue Hatで聞いた「注意して進め」というこんな話だ。Microsoftがビットマップアートの攻撃を回避するために、ファイルに含められるものを細かく定義した。セキュリティを強化するために一部のファイルも破壊したが、その結果、請求書にビットマップのロゴを使用した企業は、書面を印刷できなくなった。

 Shostack氏は「システム管理者が一度そのような経験をすると、パッチを当てるのに二の足を踏んでしまう。作ったり更新したものが何も壊さないことが非常に重要だ」と述べる。

この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。 海外CNET Networksの記事へ

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル

  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは

  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策

  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性

  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]