MSセキュリティのこの10年:手痛い教訓をバネに - (page 2)

文:Ina Fried(CNET News.com) 翻訳校正:アークコミュニケーションズ、磯部達也 2007年12月12日 08時00分

  • このエントリーをはてなブックマークに追加
  • 印刷

IEの脆弱性でMicrosoftが大混乱

 それが変化し始めたのは1997年3月、Internet Explorer(IE)の深刻な脆弱性が最初に見つかったときだ。Worcester Polytechnic Instituteの研究者らが、.LNKファイルというブラウザのショートカットの脆弱性を発見した。Microsoftは大慌てで問題に対処したが、脆弱性の話はケーブルテレビのニュースで報道された。その数時間後、メリーランド大学の研究者が別の問題を発見してMicrosoftに連絡した。

 IEチームはちょうど新しいビルに引越しの最中で、Stathakopoulos氏もそのうちの一人だった。機材の大半は箱詰めされていて、タイミングは最悪だった。電源コードもダンボールにしまいこんでいたため、チームのノートパソコンの電池が切れる前に、電源装置を買いに行かなければならなかった。現在は技術戦略担当シニアディレクターを務めるJason Garms氏が、同社初のセキュリティ速報をWindowsのNotepadを使って執筆し、フロッピーにコピーしてユーザーに配布できるようにした。

 当時のこの会社には、外部の人間がセキュリティのバグをMicrosoftのエンジニアに直接通報できるシステムすら備わっていなかった。IEの脆弱性が明るみに出たのは、誰かがMicrosoftのサポートラインに通報して、事態が次第にエスカレートしたからだった。

 Stathakopoulos氏は当時のちぐはくな体制を思い出しながら述懐する。「我々は口々に、『これんなことはやめなきゃね』と言った。体制が機能していなかった」

 そのバグの後、MicrosoftはInternet Explorerセキュリティグループとは別に、Microsoft Security Response Teamを編成した。また、問題だと思われる課題について社外の人が報告できる電子メールアドレスも公開した。

 Microsoft Security Response Teamは有志から成るチームだった。メンバーはみな日常業務を持っていたが、セキュリティ問題が発生したときのヘルプに関心を寄せる人たちだった。

 これらの初期のIEの脆弱性は、インターネットの規模が引き起こす危険性についてMicrosoftの目を覚まさせるものであったが、同社はセキュリティ戦略を完全装備するまでに、第二、第三の攻撃の波を受けた。

 1999年7月23日、Melissaウイルスの襲来によって、不明な送信者からの電子メールを回避すれば、大半の攻撃を回避できるという、当時のインターネットセキュリティの柱の一つが崩れ落ちた。

 Stathakopoulos氏はワームの作成者について、「彼らはユーザーとアドレスブックの間の信頼関係を断ち切った」と述べた。

 MelissaやI Love Youなどの大量メーラーは全くの困り者だった。多くの企業はウイルスが送る膨大な数のメッセージで自社のメールシステムがパンクしたからだ。しかし、大量メーラーが攻撃用のペイロード(弾頭)を装備すると、脅威はさらに強まった。Stathakopoulos氏は当時を「兵器による」脆弱性の時代だったと呼ぶ。

 2001年半ばに起きたCode RedとNimdaの攻撃は、Microsoftの顧客企業に深刻な打撃を与え、セキュリティチームだけでなく同社の幹部までが頭を抱えることになった。

 Code RedとNimdaの発生を受け、Gartnerは企業はMicrosoftのInternet Information Server製品を撤去し、他者製品に乗り換えることを「今すぐ」検討すべきだというレポートを発表した。これはもうひとつの手痛い教訓だったとCushman氏は語る。「大発生が起きるのではと、IISチームの一人ひとりが自分の責任を感じていた」。チームはそのレポートが誤報であると気付いた。そして、Microsoftのトップクラスのセキュリティ専門家を呼んで、より優れたコードを書くようメンバーを教育し、不良なプログラムを製品から一掃することを狙った「バグバッシュ」を行うなど、新たな策を講じた。

 2001年の末、Gates会長はMicrosoftの対応について草案を練り始めていた。それは「January 2002 Trustworthy Computing 」という不名誉なメモとして残っている。

 Gates会長は社員向けの文書に次のように書いた。「機能を追加するか、セキュリティ問題を解決するかで選択を迫られたら、セキュリティを選択する必要がある。当社の製品は、出荷時点からセキュリティを強調する必要がある」

 しかし、Microsoftの会長の言葉を誰もがそのまま信じたわけではなかった。

 当時モントリオールのZero-Knowledge Systemsに勤務し、現在Microsoftのシニアプログラムマネージャーとして同社の安全運用開発アプローチに携わるAdam Shostack氏は、「あの時はあれはPR構想だと思っていた」と語る。MicrosoftがGates会長の発言を守って行動に移したその後数ヶ月で、Shostack氏は考えが変わったと述べた。

 MicrosoftはWindowsの開発作業を事実上すべてストップし、1ヶ月の間、エンジニア全員をセキュリティ関連業務に集中させた。

 しかし、厳格なコード作成慣行の例を示したものではなく、問題を発生源でつぶすことを意図した力仕事の作業といったところだった。

 Thomlinson氏は「『エンジニアを全員集めて、コードの見直しをさせろ』というようなもので、セキュリティ技術としては未熟なものだった」と語る。

 にもかかわらず、バグは他人事だとして軽視しようとする空気が依然として社内にあった。

 Stathakopoulos氏は「昔はレポートを読んでも、『これはセキュリティバグなんかじゃないね』と言っていた」と語る。

 しかし、2001年の暮れにNash氏がセキュリティチームのリーダーに任命されると、疑わしいセキュリティ問題はすべてさらけ出し、世間に公開するという違った手法を持ち込んだ。Stathakopoulos氏は「Nash氏は、『ダメダメ、(社外に対して)ガラス張りにしなきゃならないんだ』と言っていた」と語り、当時チームメンバーが、Nash氏を気でも狂ったのではないかと思っていたことを回想した。

 「うちの会社の製品は良くないとみんなが思っていたから、そんな問題をもっと言い始めたら、うちの会社は最悪だと思われるだろう」と、Stathakopoulos氏は当時の議論を語った。しかしNash氏は一歩も譲らず、Microsoftは最初はひどい批判を受けるかもしれないが、時を経るにつれて尊敬されるようになると主張した。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

関連ホワイトペーパー

SpecialPR

連載

CIO
月刊 Windows 10移行の心・技・体
ITアナリストが知る日本企業の「ITの盲点」
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
セキュリティインシデント対応の現場
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]