およそ20年前、Microsoftの当時の最高経営責任者(CEO)Bill Gates氏は全社員に向け、同社のソフトウェアをよりセキュアなものにするよう強く求めるメモを送った。そしてこのメモをきっかけに同社は「Trustworthy Computing」(TwC:信頼できるコンピューティング)に取り組むようになった。
Gates氏はこのメモに、「われわれのソフトウェアは最終的に、顧客が何も気にしなくても済むくらい根本的にセキュアなものになるべきだ」と記していた。これは極めて野心的な目標であり、何年にもわたる取り組みにもかかわらず、本当の意味で達成できたソフトウェアは依然として存在していない。また、エンジニアらが自らの製品を強化しようとする間にも、セキュリティに対する新たな脅威の波が訪れている。
Microsoftでエンタープライズおよび「Windows」のセキュリティ担当ディレクターを務めるDave Weston氏は「国家を後ろ盾とする洗練されたハッカー集団によって、SWIFTの使用している銀行システムが悪用されるとか、ハードディスクの消去によって石油の生産が停止に追いやられるなど、当時においては誰も、さらにはBill Gates氏の壮大なビジョンであっても予想することは難しかったと考えている。脅威の状況はどのようなSF小説よりも、あるいはスパイ小説で有名なJohn le Carre氏の考えた世界のそれよりも上回っている」と述べている。
Weston氏は、「経験豊富な業界のプロフェッショナル」である同氏の目から見ても、今日における攻撃の巧妙さは驚くばかりだと認めている。
「(これら攻撃の)広範さや巧妙さによって、この仕事は興味深いものであり続けている。退屈に感じる暇などない」(Weston氏)
Weston氏は「われわれは15年前、これらの攻撃は基本的に、スクリプトキディによるものだと考えていた。つまり、親の家の地下室から週末にいたずら心で悪さをする人々だ。これが15年前の典型的な攻撃者像だった。しかし現在は、軍産複合体や、オフィスで働く人々が典型的な攻撃者像だ」と述べ、これはまったく異なった状況だと指摘している。
「昔と同じような人々が相手であれば、状況はましだろうか。この問いには間違いなくイエスだと答えられる。20年前のエクスプロイトは安価に取引されていた。しかし今では、『Windows 10』や『Windows 11』、ブラウザーなどのエクスプロイトは、入手に100万ドル単位の金額が必要になっている」(Weston氏)
Weston氏は、両者の違いがOSの防御レベルにあると主張し、「10年前や15年前に比べると、今日では『Windows』搭載PCを攻撃できる人々の数は少なくなっている。私はそのこと自体、勝利だと考えている」と述べている。
脅威レベルの高まりは1つの問題であるものの、テクノロジーのセキュリティが目指さなければならないゴールポスト自体も急速に動いている。