ウェブセキュリティ最前線--「パラノイド」:それはヤフーのセキュリティチーム - (page 4)

文:Joris Evers(CNET News.com) 翻訳校正:大熊あつ子、高森郁哉2007年07月10日 21時38分

 「こうした数多くの問題に名前が付く前から、われわれは問題に気づいていた。問題が初めて浮上したとき、旧来の手法はどれも役に立たなかった。だからわれわれは、自分たちで対策を考え出さなければならなかった」(Bejar氏)

 こうした対策の一環として、ウェブサイトやオンラインアプリケーションの潜在的なセキュリティ問題の検知と追跡を行うツールが、社内でいくつか開発された。そうしたツールの1つは、クロスサイトスクリプティングの問題を検出する「Scanmus」だ。この名称は、スクリプト言語「PHP」のオープンソース開発プロジェクトを立ち上げた人物で、ParanoidチームのメンバーでもあるRasmus Lerdorf氏に由来している。

 また、「Code Ferret」というツールは、コード内のバグを調べて、バグ追跡システムの「Pepe」に報告する。Pepeの名は、「ピノキオ」に登場するコオロギのキャラクター(Disney作品では「Jiminy Cricket」の名で知られる)にちなんでいる。

 これらのツールは、Yahooのシステムで機能するよう調整されている。同社は、商用アプリケーションとして売ることも検討したが、市場のニーズに合わせて調整し直すには膨大な時間がかかることがわかった。

 大変な苦労を伴う作業でも、費やす長い時間に値するものもあることを、Bejar氏は経験から学んでいる。Yahooに入社した1998年当時、Bejar氏は「El Pato」(スペイン語で「カモ」を意味する)と命名した1973年型「Porsche 911 Carrera」の修復に取り組んでいた。

 「Yahooが勢いに乗るころ、El Patoも息を吹き返した。私は、整備士のBobのアドバイスに従って、ほぼすべてのパーツを自作するか作り直すかした。El Patoの組み立てと、ここYahooでの私の仕事は、ある程度似通っているように思う。セキュリティプログラムの開発では、パーツを寄せ集めて形にするのに時間がかかる。そして、多様なパーツがどのように連携するのかを、繰り返し検討し理解する必要がある」(Bejar氏)

 だが今は、Yahooにとって、そうした重労働を外部と共有すべき時期かもしれない、とBejar氏は語る。

 「われわれの全員が、一緒にこの仕事をしている。そのうちの1人に何かあったら、すべてが影響を受ける」とBejar氏は語った。

この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画特集

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]