MSセキュリティのこの10年:手痛い教訓をバネに - (page 3)

文:Ina Fried(CNET News.com) 翻訳校正:アークコミュニケーションズ、磯部達也 2007年12月12日 08時00分

  • このエントリーをはてなブックマークに追加
  • 印刷

ソフトウェア以外の業界の研究

 Microsoftは自社のセキュリティ対策の体制を整備する上で、ソフトウェア以外の業界を研究する必要があった。「私たちより前に誰も考える必要がなかった」とNash氏は語る。Microsoftが指針として使った企業の一つが化学メーカーのDuPontだ。全く似ているというわけではないが、DuPontが列車事故にどのように対応したかを学んだ。

 学習した教訓の中に、緊急事態は時を選ばないというものがあった。そこでMicrosoftはもっと頻繁に人を集めることが必要になった。Nash氏は当時の体制をこう振り返る。「確かに銀行のような時間帯ではなかったが、24時間週7日体制でもなかった」

 Katie Moussouris氏は Microsoftに入社前にAtStakeで数年勤務した経験を持つが、Microsoftの態度と慣行に、少しずつだが目に見える変化があったことを思い出す。

 現在はSecurity Engineering and Communications GroupのセキュリティストラテジストであるMoussouris氏は、「ちょうど航空母艦が舵を切るのと同じ。曲がるのに相当な距離と時間がかかる。やっと前進し始めた」と語る。

 最後に努力は実るものだが、2003年1月のSlammerで幕を開けた強力なワームの時代を阻止するには、まだ力足らずだった。

 Stathakopoulos氏は以前、SymantecのVincent Weafer氏から午前3時に電話を受け、SQL Serverの既知のバグが攻撃されたと伝えられたことを思い出す。電話口では意識が朦朧としていたが、その脆弱性には何ヶ月か前にパッチを当てていて、Microsoft としてできることは何もないと思い、ベットに戻った。約20分後に上司のNash氏から電話が入り、何か策を講ずるべきだと指示を受けた。

 Window Snyder氏はその次の土曜の朝、会議に出席中にStathakopoulos氏に呼ばれ、部屋から出るよう指示されたのを思い出す。2人がまっすぐ向かった先は別の会議室で、そこには発狂寸前の人たちが大勢集まっていた。

 当時Microsoftのセキュリティアウトリーチチームの一員だったSnyder氏は、「とても苦しい経験で、緊迫状態だった」と述べる。Snyder氏は現在Microsoftを離れ、Mozillaのある分野でセキュリティ責任者を務めている。

 Slammerの後にもBlasterなどが登場した。Snyder氏は2002年と2003年にチーム内に漂っていた恐怖感を思い出す。

 「その時点では、出口の見えないトンネルに思えた」とSnyder氏は語る。

 しかし事態は変わった。大量メーラーはボットネットに主役の座を譲った。ボットネットとはハッカーが乗っ取ったコンピュータのネットワークで、スパムの送信やクレジットカード情報の取得、オンライン広告のクリックなどを目的としたものだ。的を絞った攻撃の方が金になると知った犯罪者たちは、広範囲に渡る攻撃への興味が薄れた。Microsoftはこのような動きを受け、セキュリティ脅威は顧客をただ困らせたり生産性を下げたりするだけのものではなく、金銭的な損失を被るものと考え、手法を変更した。

 脅威が偶発的な被害ではなく避けがたい現実になるにつれ、Nash氏はセキュリティチームに専用スペースが必要だと実感した。「昔は会議室を占領していると、他の人から『会議室がいるんだ』と言われ、『ウチも会議室がいるんだ』と言い返したものだ」

 緊急時の対応にはコミュニケーションが重要な役目を負うとはいえ、「作戦司令室」は2つ必要だとNash氏は判断した。そうすることで、エンジニアチームがブレーンストーミングをしながら、別の社員が顧客やマスコミと連絡できるようになる。2005年6月、Microsoft Security Response Centerが完成した。2つの部屋は1つの扉でつながっていて、必要なときは両方の部屋の人がすぐ会えるようにした。

 Microsoftはまた、セキュリティの教訓を社内全員に苦労して学ばせる余裕はないことにも気づき始めていた。より多くの社員が、巷にあふれる脅威に気づくことが必要だった。

 セキュリティコミュニティとの対話を増やすことが必要だと感じたSnyder氏は、Blue Hatのアイデアを提案した。これはMicrosoftの社内カンファレンスで、ハッカーが同社のエンジニアの前で発言するというものだ。このアイデアは最初は物議をかもした。社内のエンジニアが頭痛のタネとして非難する連中と面と向かうという考えは、皆がよしとしたわけではなかった。

 Windows担当リーダーであるJim Allchin氏も、最初に反対した一人だ。自分のチームが作った製品にセキュリティホールを開ける人たちと顔合わせするというアイデアは、気に入らなかった。Nash氏はAllchin氏が、「要するに、その連中にウチの製品をハッキングさせてシステムにこれこれの問題があると言わせ、私にそれを聞いていろというのですね」と語ったことを思い出す。それに対してNash氏は、そう、まさにそれをして欲しいんだと答えた。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

関連ホワイトペーパー

SpecialPR

連載

CIO
月刊 Windows 10移行の心・技・体
ITアナリストが知る日本企業の「ITの盲点」
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
セキュリティインシデント対応の現場
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft Inspire
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]