仮にセキュリティに対するGoogleのアプローチが独自性を備えているとすれば、その理由はおそらくWeb 2.0の時代に成長した直接競合する企業の中でも、Googleが「オープンであること」と「共有すること」という理念のもとに設立された唯一の企業だからだろう。これらの理念はウェブサイトで何ができるのか、そして自身をどのように守ることができるのか、その境界線を限界まで拡張するものである。
今日のサイバースペースの至る所で行われている超高速なウェブ開発は、各企業で働く研究開発部門のスタッフだけの話ではない。デスクトップコンピューティングの時代と比べると、この超高速なウェブ開発によりデジタルセキュリティの概念が変化している。たとえば、Microsoftは1975年の設立以来デスクトップソフトウェアを開発しているが、セキュリティについては苦い経験を通して学ぶこととなった。
Merrill氏は「クライアント側のアプリケーション開発においてはより多くの積み重ねがこれまでにあり、科学技術は実績と実践を通して進歩する」と言う。そして「我々はウェブアプリケーションを扱ってはいるが、従来のデスクトップアプリケーションの実績の延長線上にいる」と続ける。
ウェブセキュリティは、入力の妥当性チェックと最小権限の原則、データ保護を強化するために広く認識されている設計時の考慮事項、障害や悪意のある動作を起点とした機能など、アプリケーションの設計や開発においてすでに確立されているコンピュータの原則の上に成り立っている。ただしWeb 2.0の双方向性と開発のレベルはこれまでに類のない、依然として新しいものであるため、セキュリティがどういうことになるのかは必ずしも明確ではない。実際にはセキュリティがより簡単になることもある。
ウェブアプリケーションの利点の1つに、従来のPCアプリケーションやサーバアプリケーションと比べるとかなり容易にパッチを当てられる点があげられる。Googleでは自社が利用するインフラを正確に把握しているため、修正したプログラムを同じオペレーティングシステムの複数のバージョンでテストする必要はない。
Merrill氏によると、Googleのセキュリティプロセスは検索エンジン企業としての早い時期にすでに整備されていたという。同社がその他のさまざまなサービス、たとえば電子メールやカレンダー、広告、オンライン決済、そして2005年に発表されてAjax開発技術のメリットを広く一般に知らしめた最初のウェブアプリケーションの1つである「Googleマップ」等へと業容を拡大していく中で、優先事項はそれほど大きくは変わらなかった。
「Googleのセキュリティプロセスは早くからGoogleのソースコードに組み込まれてきたが、これは、検索データが利用者にとっては非常にプライベートなものであることを我々が知っていたからだ。セキュリティは当初から我々のDNAの中に組み込まれている。特に広告事業を開始して広告主のクレジットカードデータをはじめとする重要なデータを扱うようになってからは」とMerrill氏は語る。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
パナソニックのV2H蓄電システムで創る
エコなのに快適な未来の住宅環境
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス