MSセキュリティのこの10年:手痛い教訓をバネに

文:Ina Fried(CNET News.com) 翻訳校正:アークコミュニケーションズ、磯部達也 2007年12月12日 08時00分

  • このエントリーをはてなブックマークに追加

「MSセキュリティのこの10年」シリーズでは、Microsoftのセキュリティ戦略が過去10年でどう変わってきたかをレポートする。本編はシリーズ第1回目の記事である。

 ワシントン州レドモンド--Matt Thomlinson氏は苦労話の例として、2003年の夏を振り返る。

 「Microsoftの敷地内にバスが何台も入ってきて、エンジニアたちを日常業務から(製品サポートの)電話対応業務へとピストン輸送して行った。つらい思いだった」Microsoftのセキュリティエンジニア業務を率いるThomlinson氏は語る。

 それはBlasterワームが大発生して、不満を持ったユーザーからの電話でMicrosoftの電話回線がパンクしたときであった。

 Microsoft Security Response CenterのディレクターであるAndrew Cushman氏は、長靴を履いて前庭に集水溝を取りつけているとき、アカウントマネージャから電話を受けたことを思い出す。2001年9月11日のわずか数日後、Microsoftの最大の顧客の一つが、後でNimdaだと知ることになるワームの被害にあったときだった。

 Cushman氏の上司であるGeorge Stathakopoulos氏は、映画「マスター・アンド・コマンダー」をまだ最後まで観終わっていない。2004年の春、ソファーに腰掛けてその映画を観ているとき、Sasserが大発生しているという電話を受けた。

 Microsoftの現在のセキュリティ慣行の多くは、Microsoft製品の保護に携わった社員が過去10年間に学んできた手痛い教訓にその源をたどることができる。

 Microsoftの副社長であるMike Nash氏の経験から、同社では緊急時にすばやく社員と連絡を取るための電話連絡網の整備に踏み切った。2003年1月にSlammerワームが大発生したとき、Nash氏はMicrosoft SQL Serverの副社長であるGordon Mangione氏の居場所を大慌てで探す羽目になり、挙句の果てに、カナダでの姉の結婚式に出席中のところを探し当てた。(SlammerはMicrosoftのSQL Serverデータベースを使ってサービス拒否(DoS)攻撃を伝播した)。Nash氏は朝6時のラジオのローカルニュースでSlammer発生を初めて聞いた。最初は夢ではないかと思ったが、2回目の報道を耳にしたとき、それが本当だと知ってオフィスに向かった。「着いたのは私が2番目だった」と振り返る。

 Microsoftはまた、パッチを持っているだけでは十分ではなく、パッチは大半のユーザーが配備できるよう簡単になっていなければならないということも Slammerから学んだ。そうすることで、大発生がすばやく伝播することのリスクを下げることができる。また、一つの脆弱性にパッチをあてるだけでは不十分だということは、Blasterから学習した。すべての脆弱性を包括的にとらえるシステム化されたプロセスが必要だった。それはMicrosoftのセキュリティ開発ライフサイクル(SDL)として知られる現行のアプローチへの準備を具現化したものだ。

Microsoftのセキュリティ年表

 MicrosoftのBill Gates会長はCNET News.comのインタビューにこう答えた。「この分野でベストな人材をふんだんに投入した。まだしなければならない作業は山積みだが、ここ5年間で間違いなく5年分は進歩した」

 忘れられないほど強烈なOJT研修となる理由の大半は、Microsoftとその社員がセキュリティにどのように対処したかについての10年に及ぶ進化の歴史から見出すことができる。1997年までは、セキュリティとは製品の設計と開発が終わったずっと後にソフトウェアに取り付ける一連の機能だと考えるのが主流だった。開発しながらコードを保護するという考えは誰も持っていなかった。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連キーワード
セキュリティ

関連ホワイトペーパー

連載

CIO
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
「企業セキュリティの歩き方」
「サイバーセキュリティ未来考」
「ネットワークセキュリティの要諦」
「セキュリティの論点」
スペシャル
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
AWS Summit
PTC LiveWorx
より賢く活用するためのOSS最新動向
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
米株式動向
日本株展望
企業決算