ウェブセキュリティ最前線--MSがデスクトップから学んだ教訓

　Pete Boden氏は、Microsoftの社員にハッカーの心理を理解してもらいたいと考えている。同社が2005年に「Blue Hat」カンファレンスを初めて開催したのは、まさにその理由からであった。このイベントは会社にハッカーを招き、講義やミーティングを通してセキュリティに関係する社員に不正侵入者の心理を紹介するものである。

　今やBlue Hatは年に2回開催される人気イベントとなったが、自らが開発した製品のセキュリティがゲストとして招かれたハッカーによって破られるのを目の当たりにすることは、製品開発者にとって後味の悪い場面であることに変わりはない。しかしこの「脅威モデリング」と呼ばれる、攻撃をシミュレートして検証するプロセスは、アプリケーションがどのように攻撃される可能性があるのか、またセキュリティ制御がどうあるべきかを開発者に示唆するという意味で非常に有益なプロセスである。

　MicrosoftでMSN/Windows Liveセキュリティ部門担当シニアディレクターを務めるBoden氏は「開発者もしくはユーザーの観点から製品の開発に取り組んでいる開発者は決して少なくない」と語る。

　Microsoftが現在直面している課題はまさにそれである。多くの開発者や経営陣が、ウェブアプリケーションをセキュリティで保護することはPCデスクトップソフトウェアを保護すること、つまり同社が過去30年間にわたって習得してきたことと何ら変わりはないと考えている中で、デジタルテクノロジ史上最も困難な課題をセキュリティ分野に生じさせている、そのスピードと規模がウェブアプリケーションとデスクトップソフトウェアでは大きく異なり、それを認識する必要性にMicrosoftは迫られている。

　Microsoftはこれまで、その繁栄とは裏腹に、業界の変化への対応が後手に回ったり、その影響を過小評価したりしてきた。たとえば90年代の半ばには、インターネットとウェブベースコンピューティングの重要性を読み誤った。その後の経過は、同社に大きな教訓を与えると同時に、伝説的な出来事として語り継がれているとおりである。Bill Gates氏が社員を総動員して戦いに挑んだ結果、最大のライバルだったNetscape Communicationsを撃沈し、インターネットの方向性を決定付けることとなった。さらに最近では、GoogleとAppleに主役を食われてからかなりの時間が経過したが、ウェブ検索とデジタルミュージックの価値を誤算したことをGates氏と最高経営責任者（CEO）であるSteve Ballmer両氏が認めている。

　これらの点からも、Microsoftがウェブセキュリティの分野で遅れを取るまいと躍起になっている理由が容易に理解できる。重要なのは、同社内外の多くの意見が示すとおり、ウェブセキュリティをデスクトップのバグと同じようには取り扱わないようにすることである。

　Boden氏は「ウェブもデスクトップもルールは同じ。何も新しいことをやるわけではなく、同じやり方を適用する環境が異なるだけ」としながらも、次の点を強調している。「必要なのは、自分が問題を把握していると言い切って独りよがりに陥らないようにする慎重さ。なぜならば、こうしている間にも変化は目前で起こっている」。

　Microsoftで18年の経験を誇るBoden氏は、脅威の種類が変わってもデスクトップやサーバから得られたセキュリティに関する教訓をオンラインアプリケーションにも生かすことができるとしたうえで、ウェブとデスクトップのセキュリティが基本的に同じであるという考えに社員の多くが固執しても不思議ではないと考えている。