MSセキュリティのこの10年:手痛い教訓をバネに

文:Ina Fried(CNET News.com) 翻訳校正:アークコミュニケーションズ、磯部達也

2007-12-12 08:00

「MSセキュリティのこの10年」シリーズでは、Microsoftのセキュリティ戦略が過去10年でどう変わってきたかをレポートする。本編はシリーズ第1回目の記事である。

 ワシントン州レドモンド--Matt Thomlinson氏は苦労話の例として、2003年の夏を振り返る。

 「Microsoftの敷地内にバスが何台も入ってきて、エンジニアたちを日常業務から(製品サポートの)電話対応業務へとピストン輸送して行った。つらい思いだった」Microsoftのセキュリティエンジニア業務を率いるThomlinson氏は語る。

 それはBlasterワームが大発生して、不満を持ったユーザーからの電話でMicrosoftの電話回線がパンクしたときであった。

 Microsoft Security Response CenterのディレクターであるAndrew Cushman氏は、長靴を履いて前庭に集水溝を取りつけているとき、アカウントマネージャから電話を受けたことを思い出す。2001年9月11日のわずか数日後、Microsoftの最大の顧客の一つが、後でNimdaだと知ることになるワームの被害にあったときだった。

 Cushman氏の上司であるGeorge Stathakopoulos氏は、映画「マスター・アンド・コマンダー」をまだ最後まで観終わっていない。2004年の春、ソファーに腰掛けてその映画を観ているとき、Sasserが大発生しているという電話を受けた。

 Microsoftの現在のセキュリティ慣行の多くは、Microsoft製品の保護に携わった社員が過去10年間に学んできた手痛い教訓にその源をたどることができる。

 Microsoftの副社長であるMike Nash氏の経験から、同社では緊急時にすばやく社員と連絡を取るための電話連絡網の整備に踏み切った。2003年1月にSlammerワームが大発生したとき、Nash氏はMicrosoft SQL Serverの副社長であるGordon Mangione氏の居場所を大慌てで探す羽目になり、挙句の果てに、カナダでの姉の結婚式に出席中のところを探し当てた。(SlammerはMicrosoftのSQL Serverデータベースを使ってサービス拒否(DoS)攻撃を伝播した)。Nash氏は朝6時のラジオのローカルニュースでSlammer発生を初めて聞いた。最初は夢ではないかと思ったが、2回目の報道を耳にしたとき、それが本当だと知ってオフィスに向かった。「着いたのは私が2番目だった」と振り返る。

 Microsoftはまた、パッチを持っているだけでは十分ではなく、パッチは大半のユーザーが配備できるよう簡単になっていなければならないということも Slammerから学んだ。そうすることで、大発生がすばやく伝播することのリスクを下げることができる。また、一つの脆弱性にパッチをあてるだけでは不十分だということは、Blasterから学習した。すべての脆弱性を包括的にとらえるシステム化されたプロセスが必要だった。それはMicrosoftのセキュリティ開発ライフサイクル(SDL)として知られる現行のアプローチへの準備を具現化したものだ。

Microsoftのセキュリティ年表

 MicrosoftのBill Gates会長はCNET News.comのインタビューにこう答えた。「この分野でベストな人材をふんだんに投入した。まだしなければならない作業は山積みだが、ここ5年間で間違いなく5年分は進歩した」

 忘れられないほど強烈なOJT研修となる理由の大半は、Microsoftとその社員がセキュリティにどのように対処したかについての10年に及ぶ進化の歴史から見出すことができる。1997年までは、セキュリティとは製品の設計と開発が終わったずっと後にソフトウェアに取り付ける一連の機能だと考えるのが主流だった。開発しながらコードを保護するという考えは誰も持っていなかった。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    初心者にも優しく解説!ゼロトラストネットワークアクセスのメリットと効果的な導入法

  2. ビジネスアプリケーション

    Google が推奨する生成 AI のスタートアップガイド、 AI を活用して市場投入への時間を短縮

  3. セキュリティ

    「2024年版脅威ハンティングレポート」より—アジアでサイバー攻撃の標的になりやすい業界とは?

  4. ビジネスアプリケーション

    改めて知っておきたい、生成AI活用が期待される業務と3つのリスク

  5. ビジネスアプリケーション

    ITR調査結果から導くDX浸透・定着化-“9割の国内企業がDX推進中も成果が出ているのはごく一部”

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]