ウェブセキュリティ最前線--MSがデスクトップから学んだ教訓 - (page 4)

　ウェブ上の脆弱性にはクロスサイトスクリプティングのバグも含まれる。このバグは、個人用アカウントをハイジャックの危険にさらしたり、データ窃盗を目的としたフィッシング詐欺に悪用されたりするだけでなく、信頼できるサイトに悪意のあるコードを埋め込むためにハッカーが利用することもある。またSQLインジェクションもよく知られている問題の1つであり、攻撃者はウェブアプリケーションに隠れてデータベースを不正に操作してしまう。

　Microsoftブランドのウェブサイトを業務提携している他社に部分的または全面的にホストさせるなど、Microsoftが事業を拡大するのに伴い、これらの企業との関係に伴う問題を含め、これまでにはなかった新たなリスクも生まれている。たとえば2005年にはMSN Koreaの提携先が、オンラインゲームユーザーの資格情報をMSN Koreaの顧客PCに不正に記録されるというサイバー犯罪の被害に遭っている。

　Microsoftは同年、ソフトウェアが「ライブ時代」に入ったことを宣言するオンラインイニシアティブを立ち上げ、「Office」と「Windows」のオンライン版を発表した。また最近では、同社の初期オンラインアプリケーションの1つである「Hotmail」の改良版も発表している。

　「ライブ」化を進めるこの取り組みは、オンラインアプリケーションの勢いに乗じようというMicrosoftの企てを表している。オンラインアプリケーションの開発に使われるAjaxなどの新しい開発技術は、ウェブサイトを従来のデスクトップアプリケーションのように動作させてその機能を拡張するものであるが、それは同時に、セキュリティ侵害を招く新たな原因ともなっている。

　Boden氏は次のように語っている。「当部門の取り組みに対するプレッシャーは強まったが、セキュリティモデルを作成することにより、業務部門をセキュリティ構想に本格的に関与させることに成功している」。

　Microsoftは、全社一丸となってセキュリティに取り組んでいるという点で競合他社と類似している。マッシュアップが開発形態としてますます一般化する中、セキュリティ面での協力体制なくして複数のオンラインアプリケーションを接続することはできない。

　Boden氏は、競合他社のセキュリティ責任者と同様に、セキュリティがなぜそれほどまでに重要であるかを心に留めておくことが大切であると言う。情報のオンライン保存が続けられる中、ウェブは個人用ファイリングキャビネットとして使われつつある。

　その意味では、あらゆる個人データをウェブアプリケーションに保存しているBoden氏自身やセキュリティ担当部門のメンバーたちも例外でない。

　Boden氏は次のように語る。「私たちはすべてを賭けている。この取り組みが失敗すれば、個人としてだけでなく、キャリア面でも大きな痛手を被ることになるだろう」。