ウェブセキュリティ最前線--問題の解決への道 - (page 3)

文:Mike Ricciuti and Joris Evers(CNET News.com) 翻訳校正:矢倉美登里、小林理子

2007-07-23 03:03

 たとえば、Microsoftは、ウェブセキュリティおよびデジタルセキュリティ全般に取り組みむのが遅かった。1990年代に入ってしばらくするまで、Windowsについてはセキュリティはおおむね二の次だった。つねにネットワークに接続している状態での使い方を念頭に置いて開発されたものではなかったのだ。

 だが、問題の重要性を十分に認識するや、Microsoftはクライアントおよびサーバの両方でソフトウェアの保護に何十億ドルもの金を費やした。PCのハードディスク上のソフトウェアをオンラインで補完しようという「Windows Live」など、同社の新しいオンラインソフトウェアサービスを示すマーケティング上の呼び名である「Live」を冠するイニシアチブによって、本格的にWebサービスに踏み込むにしたがって、こういった取り組みがウェブセキュリティにも拡大されてきた。

 ウェブセキュリティのように大きな問題に対するアプローチ方法は、自社がいちばんを承知しているとMicrosoftが考えていたとしても、それはもっともだ。Microsoftは世界最大のソフトウェア企業であるだけでなく、同社の多くのベテラン社員は自分たちは何年も前に何もかも経験ずみだと考えている。当時、デスクトップセキュリティと呼ばれていたものと同じだというわけだ。

 「MSN」とWindows Liveのセキュリティを担当するシニアディレクターのPete Boden氏が、大勢のベテラン幹部の見解を代弁する意見を述べている。Boden氏は、多くのアプリケーションセキュリティ問題は、煎じ詰めると、共通する基本的な原因に行き着くと主張する。それは、データ入力だ。すなわち人々がアプリケーションに入力するものが原因だ。入力可能なデータと入力不可能なデータの厳しい管理を行えば、つまり業界で言うところの「有効性検証」を行えば、セキュリティ侵害の主要な進入経路は排除できるというわけだ。

 「ウェブの脆弱性を分類して、入力の検証に何らかのかたちで関係するものをすべて取り除けば、ごく少数の脆弱性しか残らないと思う。われわれが目にする脆弱性の80%は、入力の検証エラーだ」とBoden氏。

 このため、Boden氏は、ソフトウェアの長い歴史を持ち、「Trustworthy Computing」(信頼できるコンピューティング)体験を重ねているMicrosoftは、ウェブセキュリティについて急速に学んでおり、競争で優位に立っていると確信している。主要ライバルと同じくMicrosoftは、クロスサイトスクリプティングの脆弱性を検知する「Microsoft Anti-Cross Site Scripting Library」といった、開発者がバグを修正してコードの質をテストできるようにする支援ツールを開発してきた。

 「他社ではどうかはとにかく、Microsoftにとってはさほど厄介なことではなかった。学んでのぼっていかなければならない坂があるのは確かだが、全社的に対応プロセスとセキュリティプログラムに前もって投資してきたので、われわれの学習曲線は急カーブを描いて上昇すると思う」とBoden氏。

 それでも、まだ疑念は消えない。何といっても、Microsoftは、1990年代半ばにはインターネットの重要性について判断を誤り、その後にインターネット検索とデジタル音楽の価値を過小評価した企業だ。

 Microsoftは、ウェブセキュリティについて正しく対処していくだろうか?事業分野がますますウェブに移行していくなか、同社にとって危険にさらされるものがあまりにも多いという理由だけから言っても、ウェブセキュリティについて適正に対処する可能性は十分ある。さらに、Microsoftのやりかたが効果的かどうかに関係なく、無数の消費者と開発者が、セキュリティホールをなくすよう同社に圧力をかけ続けるだろう。

 ウェブセキュリティ問題に直面しているほかの企業は、Microsoftほど楽観的ではない。たとえば、Googleはすべてを、まだ存在するかどうかさえわからない地雷だらけ、という可能性のある外国の土地として見ている。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

関連記事

関連キーワード
Google
Yahoo
Microsoft
セキュリティ

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル

  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは

  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策

  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性

  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]