MSセキュリティのこの10年:ハッカーを社内に招待 - (page 3)

文:Ina Fried(CNET News.com) 翻訳校正:アークコミュニケーションズ、磯部達也

2007-12-13 08:00

 その後者はとりわけ重要だ。Microsoftには大規模なセキュリティチームがあり、いろいろな製品単位でセキュリティに専念する小さなチームに分かれている。しかし、WindowsやOfficeなどの最重要製品を支える数百万行ものコードを記述するにあたっては、セキュアなプロセスの使用は開発者に依存することになる。それはXboxやWindows Mobileなどの製品でも同じだ。

 Blue Hatはまた一部のハッカーとの緊密な関係を後押しした。最初のBlue Hatの参加メンバーであるKaminsky氏は、現在では同社と広範囲に渡って連携している。Kaminsky氏は評判の良い外部の人間として、Microsoftのプログラミング担当者に少なからず影響を与えている。

 MicrosoftのBlue Hatでの成功話は、次第に噂されるようになった。2007年の初期、eBayは自社独自の「Red Team eBay」セキュリティカンファレンスを開催した。来年以降も行う計画があるという。

 レドモンドにおけるセキュリティアウトリーチはBlue Hatにとどまらない。その一つとして、Microsoftはセキュリティ研究コミュニティの人材を大量雇用した。特にWindows Vistaに関しては、開発段階でOSのセキュリティホールを見つけるために世界レベルの侵入テストの専門知識を総動員した。

 パッチがどの部分のコードを変更したかを分析するツールを作成したHalvar Flake氏は、「これまでに他社がソフトウェアを保護するために投資した資金よりも、MicrosoftがVistaの保護に投じた資金は巨額だった」と語る。彼はセキュリティ会社Zynamics(元Sabre Security)のセキュリティ担当最高責任者だ。

 Flake氏は、Microsoftはここ数年のセキュリティ対策に10億ドルを投じたと見積もる。 「Microsoftにこれができる理由の一つとして、あの会社は独占企業だからだ。市場圧力にさらされている企業であれば、ソフトウェア製品の保護に10億ドルも投じる余裕などない」と述べる。

 Stathakopoulos氏はMicrosoftが外部の人間を雇用して侵入テストを行うのにいくら支出したかについてはコメントを控えたが、支払った額は「それに見合う価値があった」と述べた。

 彼は「面白い物の見方もあるものだ」と述べ、Microsoftは次期バージョンのWindowsでも同じことをするだろうと語った。

越えてはいけない一線を引く

 Microsoftのハッカー業界とのつながりには制限を設けている。Microsoftが持つコネはほとんどの場合は発見者、つまりバグを見つける人たちであり、攻撃したり、悪意を持ってバグを利用する人たちではない。Microsoftはそのような集団に対しては法的措置に訴えている。

 ハッカー側にも制限が課されている。Blue Hatに参加して講演する誰もがMicrosoftと蜜月の関係を望んでいるわけではない。Flake氏は最新のイベントを含めてBlue Hatで2回講演しているが、レドモンドの人間と会話することはまれだ。

 Flake氏は、「彼らはときどき、私のせいで笑いが出るほどの大量作業が出たと言ってきたりするだけだ。継続的に会話をしているわけではない。私はMicrosoftの品質保証を無料サービスするよりも、ツールの開発に専念している」と述べる。

 とはいえ、Microsoftに影響されたかどうかは定かではないが、Flake氏は関心の矛先を変え、悪意のあるソフトウェアの分析と分類を支援するいろいろなツールを使い始めた。これは彼が2007年のBlue Hatで発表したトピックだ。Flake氏は「そういう市場が、悪意のあるソフトウェアよりも大きくあって欲しいんだが、とても小さいのは残念なこと」と語る。

 Microsoftはセキュリティコミュニティに対して大きく関与しているが、とりわけセキュリティソフトウェア市場への参入となると神経をとがらせる。この分野では、MicrosoftはSymantecやMcAfeeと競合関係になる。同社はこの領域で成功するために、人的なコネ作りに悪戦苦闘している。2006年にOneCare製品を売り出したとき、他のウイルス対策ソフトウェア企業のウイルス定義をもらうために必要な他社との関係ができていなかった。その結果、Microsoftは一部のテストで低い評価点をもらった。

 長くMcAfeeの幹部を務め、ウイルス対策コミュニティとのパイプを太くしようとのMicrosoftの試みで2006年に同社に入社したVinny Gullotto氏は、「カルペルスキーのコレクションを持ってない場合、そのコレクションがテストで使われてそれを検出できないと、いい評価点はもらえない」と語る。

 セキュリティコミュニティへの見返りという点で言えば、Microsoftはもっと貢献すべきだとの声も一部にある。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    迫るISMS新規格への移行期限--ISO/IEC27001改訂の意味と求められる対応策とは

  2. セキュリティ

    警察把握分だけで年間4000件発生、IPA10大脅威の常連「標的型攻撃」を正しく知る用語集

  3. セキュリティ

    まずは“交渉術”を磨くこと!情報セキュリティ担当者の使命を果たすための必須事項とは

  4. セキュリティ

    いま製造業がランサムウェアに狙われている!その被害の実態と実施すべき対策について知る

  5. セキュリティ

    VPNの欠点を理解し、ハイブリッドインフラを支えるゼロトラストの有効性を確認する

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]