MSセキュリティのこの10年：手痛い教訓をバネに - (page 4)

動揺する外部の研究者

　Microsoftの動機と取り組みに対しては、外部の研究者らも懐疑的だった。

　しかしこの取り組みは、両陣営にとって功を奏した。2005年3月に第一回目が開催されたBlue Hatは現在年2回のイベントで、9月に行った直近のイベントは2日間に渡るものだった。毎回、Microsoftのエンジニアたちは、Microsoft製品の攻撃に使用できる多彩なテクニックを披露するハッカーたちと向かい合う。今年の招待客の中でおそらく最も対決色が鮮明となったのがWabiSabiLabiだ。Microsoftが招待したこのグループは、ちょうどコレクターがeBayで雑貨を売買するように、脆弱性を競売にかけるオークションサイトを運営している。同社はセキュリティホールにパッチを当てることができるベンダーや、腹の底に別の考えを持った人に喜んで販売する。

　WabiSabiLabiのRoberto Preatoni氏が9月のBlue Hatに参加したことは不愉快だったが、Cushman氏はMicrosoftのエンジニアにとって現在の脅威を理解することが重要だと語る。（Preatoni氏は11月、以前勤務していたテレコムイタリアのスパイ調査に関連していたとしてイタリアで逮捕された）

　「こういう苦痛を伴う教育を全部のチームに直接受けさせることは望んでいないが、しかしチームの各メンバーに対して、ことの重要性を心の底から理解させたい」とCushman氏は語る。彼は「ハッカーを招待して」と言った後で言葉を選びなおし、「セキュリティ研究者を招待して、自分が担当する製品の脆弱性を説明してもらうことほど、教訓が身につく方法はほかにはないだろう」と述べた。

　同社は最近、「Defend the Flag（旗を守る）」という演習を開始した。これはITの専門家とセキュリティ担当の新米社員がWindowsネットワークを設定し、その後これを自分で防御するという1日研修を受けるというものだ。

　「自分で設定して防御するネットワークが構成ミスや脆弱性で侵害されたとしたら、それは忘れないだろう」とCushman氏は語る。

　Microsoftがもっと対策を講じたり、すばやい行動が必要な分野を取り巻く教訓がたくさんある中で、Shostack氏にとって最も強烈な教訓の一つが、前回のBlue Hatで聞いた「注意して進め」というこんな話だ。Microsoftがビットマップアートの攻撃を回避するために、ファイルに含められるものを細かく定義した。セキュリティを強化するために一部のファイルも破壊したが、その結果、請求書にビットマップのロゴを使用した企業は、書面を印刷できなくなった。

　Shostack氏は「システム管理者が一度そのような経験をすると、パッチを当てるのに二の足を踏んでしまう。作ったり更新したものが何も壊さないことが非常に重要だ」と述べる。