MSセキュリティのこの10年:手痛い教訓をバネに

文:Ina Fried(CNET News.com) 翻訳校正:アークコミュニケーションズ、磯部達也

2007-12-12 08:00

「MSセキュリティのこの10年」シリーズでは、Microsoftのセキュリティ戦略が過去10年でどう変わってきたかをレポートする。本編はシリーズ第1回目の記事である。

 ワシントン州レドモンド--Matt Thomlinson氏は苦労話の例として、2003年の夏を振り返る。

 「Microsoftの敷地内にバスが何台も入ってきて、エンジニアたちを日常業務から(製品サポートの)電話対応業務へとピストン輸送して行った。つらい思いだった」Microsoftのセキュリティエンジニア業務を率いるThomlinson氏は語る。

 それはBlasterワームが大発生して、不満を持ったユーザーからの電話でMicrosoftの電話回線がパンクしたときであった。

 Microsoft Security Response CenterのディレクターであるAndrew Cushman氏は、長靴を履いて前庭に集水溝を取りつけているとき、アカウントマネージャから電話を受けたことを思い出す。2001年9月11日のわずか数日後、Microsoftの最大の顧客の一つが、後でNimdaだと知ることになるワームの被害にあったときだった。

 Cushman氏の上司であるGeorge Stathakopoulos氏は、映画「マスター・アンド・コマンダー」をまだ最後まで観終わっていない。2004年の春、ソファーに腰掛けてその映画を観ているとき、Sasserが大発生しているという電話を受けた。

 Microsoftの現在のセキュリティ慣行の多くは、Microsoft製品の保護に携わった社員が過去10年間に学んできた手痛い教訓にその源をたどることができる。

 Microsoftの副社長であるMike Nash氏の経験から、同社では緊急時にすばやく社員と連絡を取るための電話連絡網の整備に踏み切った。2003年1月にSlammerワームが大発生したとき、Nash氏はMicrosoft SQL Serverの副社長であるGordon Mangione氏の居場所を大慌てで探す羽目になり、挙句の果てに、カナダでの姉の結婚式に出席中のところを探し当てた。(SlammerはMicrosoftのSQL Serverデータベースを使ってサービス拒否(DoS)攻撃を伝播した)。Nash氏は朝6時のラジオのローカルニュースでSlammer発生を初めて聞いた。最初は夢ではないかと思ったが、2回目の報道を耳にしたとき、それが本当だと知ってオフィスに向かった。「着いたのは私が2番目だった」と振り返る。

 Microsoftはまた、パッチを持っているだけでは十分ではなく、パッチは大半のユーザーが配備できるよう簡単になっていなければならないということも Slammerから学んだ。そうすることで、大発生がすばやく伝播することのリスクを下げることができる。また、一つの脆弱性にパッチをあてるだけでは不十分だということは、Blasterから学習した。すべての脆弱性を包括的にとらえるシステム化されたプロセスが必要だった。それはMicrosoftのセキュリティ開発ライフサイクル(SDL)として知られる現行のアプローチへの準備を具現化したものだ。

Microsoftのセキュリティ年表

 MicrosoftのBill Gates会長はCNET News.comのインタビューにこう答えた。「この分野でベストな人材をふんだんに投入した。まだしなければならない作業は山積みだが、ここ5年間で間違いなく5年分は進歩した」

 忘れられないほど強烈なOJT研修となる理由の大半は、Microsoftとその社員がセキュリティにどのように対処したかについての10年に及ぶ進化の歴史から見出すことができる。1997年までは、セキュリティとは製品の設計と開発が終わったずっと後にソフトウェアに取り付ける一連の機能だと考えるのが主流だった。開発しながらコードを保護するという考えは誰も持っていなかった。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    生成 AI 「Gemini」活用メリット、職種別・役職別のプロンプトも一挙に紹介

  2. セキュリティ

    まずは“交渉術”を磨くこと!情報セキュリティ担当者の使命を果たすための必須事項とは

  3. セキュリティ

    迫るISMS新規格への移行期限--ISO/IEC27001改訂の意味と求められる対応策とは

  4. セキュリティ

    マンガで分かる「クラウド型WAF」の特徴と仕組み、有効活用するポイントも解説

  5. ビジネスアプリケーション

    急速に進むIT運用におけるAI・生成AIの活用--実態調査から見るユーザー企業の課題と将来展望

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]