MSセキュリティのこの10年：手痛い教訓をバネに

「MSセキュリティのこの10年」シリーズでは、Microsoftのセキュリティ戦略が過去10年でどう変わってきたかをレポートする。本編はシリーズ第1回目の記事である。

　ワシントン州レドモンド--Matt Thomlinson氏は苦労話の例として、2003年の夏を振り返る。

　「Microsoftの敷地内にバスが何台も入ってきて、エンジニアたちを日常業務から（製品サポートの）電話対応業務へとピストン輸送して行った。つらい思いだった」Microsoftのセキュリティエンジニア業務を率いるThomlinson氏は語る。

　それはBlasterワームが大発生して、不満を持ったユーザーからの電話でMicrosoftの電話回線がパンクしたときであった。

　Microsoft Security Response CenterのディレクターであるAndrew Cushman氏は、長靴を履いて前庭に集水溝を取りつけているとき、アカウントマネージャから電話を受けたことを思い出す。2001年9月11日のわずか数日後、Microsoftの最大の顧客の一つが、後でNimdaだと知ることになるワームの被害にあったときだった。

　Cushman氏の上司であるGeorge Stathakopoulos氏は、映画「マスター・アンド・コマンダー」をまだ最後まで観終わっていない。2004年の春、ソファーに腰掛けてその映画を観ているとき、Sasserが大発生しているという電話を受けた。

　Microsoftの現在のセキュリティ慣行の多くは、Microsoft製品の保護に携わった社員が過去10年間に学んできた手痛い教訓にその源をたどることができる。

　Microsoftの副社長であるMike Nash氏の経験から、同社では緊急時にすばやく社員と連絡を取るための電話連絡網の整備に踏み切った。2003年1月にSlammerワームが大発生したとき、Nash氏はMicrosoft SQL Serverの副社長であるGordon Mangione氏の居場所を大慌てで探す羽目になり、挙句の果てに、カナダでの姉の結婚式に出席中のところを探し当てた。（SlammerはMicrosoftのSQL Serverデータベースを使ってサービス拒否（DoS）攻撃を伝播した）。Nash氏は朝6時のラジオのローカルニュースでSlammer発生を初めて聞いた。最初は夢ではないかと思ったが、2回目の報道を耳にしたとき、それが本当だと知ってオフィスに向かった。「着いたのは私が2番目だった」と振り返る。

　Microsoftはまた、パッチを持っているだけでは十分ではなく、パッチは大半のユーザーが配備できるよう簡単になっていなければならないということも Slammerから学んだ。そうすることで、大発生がすばやく伝播することのリスクを下げることができる。また、一つの脆弱性にパッチをあてるだけでは不十分だということは、Blasterから学習した。すべての脆弱性を包括的にとらえるシステム化されたプロセスが必要だった。それはMicrosoftのセキュリティ開発ライフサイクル（SDL）として知られる現行のアプローチへの準備を具現化したものだ。

Microsoftのセキュリティ年表

　MicrosoftのBill Gates会長はCNET News.comのインタビューにこう答えた。「この分野でベストな人材をふんだんに投入した。まだしなければならない作業は山積みだが、ここ5年間で間違いなく5年分は進歩した」

　忘れられないほど強烈なOJT研修となる理由の大半は、Microsoftとその社員がセキュリティにどのように対処したかについての10年に及ぶ進化の歴史から見出すことができる。1997年までは、セキュリティとは製品の設計と開発が終わったずっと後にソフトウェアに取り付ける一連の機能だと考えるのが主流だった。開発しながらコードを保護するという考えは誰も持っていなかった。