Mozillaの新しいセキュリティ担当者は、「Firefox」が「Internet Explorer」より安全だと断言しようとはしない。
オープンソースのウェブブラウザのFirefoxで知られるMozillaは先頃、Microsoft出身のWindow Snyder氏をセキュリティ部門の新しい責任者に迎えた。Microsoftが製品のセキュリティ問題でしばしば批判を受けているのと対照的に、Mozillaは好意的に語られることが多い。しかし、Firefoxやその他のMozilla製品にセキュリティ問題がないわけではない。
Microsoftでは、Snyder氏はWindowsの安全性を確保するプロセスの構築を支援した。ハッカーをMicrosoft本社に招き、開発者の目の前で同社製品の不具合を悪用して見せてもらうイベント「Blue Hat」を立ち上げたのも彼女だ。
先頃、Snyder氏はCNET News.comのインタビューに応じ、今後の抱負として、Mozillaの安全性の秘密をコミュニティーと共有すること、セキュリティ研究コミュニティーとの連携を強化すること、悪用される可能性のある古いコードをMozillaの製品から排除していくことを語った。
「ギーク」を自認するSnyder氏は、プログラマーの両親のもとに生まれた。母親はSnyder氏がティーンエージャーにもならないうちに、Texas Instrumentsのコンピュータ「TI- 99」を使ってBASICプログラムを書く方法を教えたという。やがて、Snyder氏はさまざまな企業でセキュリティコンサルティングの仕事をするようになった。Symantecに買収された@stakeはそのひとつだ。
CNET News.comはカリフォルニア州マウンテンビューにあるMozillaのオフィスにSnyder氏を訪ね、安全なものなど何もない世界で、ソフトウェアのセキュリティを最大限に高める方法を聞いた。
学生時代は数学とコンピュータサイエンスを学び、その延長で暗号技術に興味を持つようになりました。その結果、安全なアプリケーションを開発する方法と同時に、安全と思われているシステムの裏をかく方法の両方に強い関心を持つようになったのです。ソフトウェアエンジニア時代は、主にセキュリティアプリケーションを手がけました。
社会人になったばかりの頃は、セキュリティが重視されるアプリケーションを開発していました。90年代にはセキュリティ研究グループにも参加しました。
90年代末にセキュリティ産業は大きな転換点を迎えました。Internet Security Systems(ISS)などの企業が登場し、ついにセキュリティ関連のスキルを仕事につなげることができるようになったのです。そこで、キャリアの方向性を開発からコンサルティングに転換しました。@stakeに入ったのは2000年です。@stake以前に、セキュリティに特化したコンサルティング会社はありませんでした。
安全なものは何もない、ということです。これはソフトウェアを開発する時も、セキュリティのテストを行う時も忘れてはならないことです。システムに侵入しようとする人、システムの弱点を突いて、ユーザーを攻撃しようとする人は後を絶ちません。システムを保護する方法を考え続ける必要があります。
最初に関わったのは「Secure Windows Initiative」です。ここではセキュリティを確保するための手法を開発したり、さまざまな製品チームと連携して、製品のセキュリティの強化に努めたりしました。Windowsのセキュリティを監督するポジションも作りました。当時のWindowsチームにはローカライズやパフォーマンスを監督する人はいても、セキュリティを監督する人はいなかったからです。
「Windows XP Service Pack 2」の出荷後はコミュニティーチームの初代メンバーとして、それまで非公式で行っていたことを仕事として行うようになりました。具体的にはセキュリティ研究コミュニティーと交流し、彼らの意見をMicrosoftに持ち帰ることです。われわれはセキュリティ研究コミュニティーに参加し、そこで得た情報をMicrosoftの製品チームに提供するようになりました。そのひとつの形が「Blue Hat」です。これは私が企画したイベントで、「Black Hat」や「CanSecWest」に登場するような人々をMicrosoftに招き、社員と交流してもらうというものでした。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」