logo

ウェブセキュリティ最前線--MSがデスクトップから学んだ教訓 - (page 2)

文:Joris Evers(CNET News.com)
翻訳校正:株式会社アークコミュニケーションズ、大久保崇子、國分真人
2007年07月12日 19時55分
  • 一覧
  • このエントリーをはてなブックマークに追加

 「違いがあることは確かだが、何がどのように侵害される可能性があるか、侵害されたことによりどのような影響があるか、それをどのように防ぎ、実際に侵害された場合にどのように対処すべきか。それらを理解するうえでの考え方は基本的にすべて同じ」(Boden氏)

 大きな違いは変化のスピードと規模であり、これはとても重要である。Boden氏が言うとおり、安全なウェブアプリケーションは、その変化のスピードと規模に柔軟に対応できるかどうかにかかっている。セキュリティ機能を拡張できなければ、データはリスクにさらされかねない。

 Microsoftが自社のオンラインサービスをサポートするためにデータセンターに設置したサーバは2006年には約3万台であったが、その数は2007年には8万台にまで増加し、今後さらなる増設が予定されている。

 「この分野がビジネスにもたらす利害は大きい。この業界では、ひとたびユーザーの信頼を損なったらビジネスを失ったも同然であり、それは当社であれ他社であれ同じこと」とBoden氏は語る。

苦い経験を通して学んだ教訓

 Microsoftに長く勤めている社員は、あたかも自分がすべてを経験したことがあるかのように話すことがあるが、それは苦い経験を通して学んだ教訓から来ている。

 今から5年前、Microsoftの顧客はさまざまな攻撃にさらされていた。Gates氏はこれを受け、「Trustworthy Computing」イニシアティブに着手し、セキュリティを最優先課題として取り上げた。Microsoftのソフトウェアにはいまだに多数の脆弱性が残り、攻撃も続いているが、この取り組みは業界アナリストたちに高く評価されている。

 MSNやWindows Liveのセキュリティ担当部門内には、セキュリティの重要性を社員に喚起するための横断幕が今でも掲げられている。また、「セキュリティスコアカード」を使用して社員の業績を記録し、個人の能力を評価する。

 ただし、こうした統治的なアプローチは管理される側の社員には必ずしも喜んで迎えられてきたわけではない。どの企業においても、人事部やIT部門、セキュリティ部門などは、内部者の監視を職務とするという意味で、警察の内部監査課のように考えられることがある。MSNやWindows Liveのセキュリティ担当部門も同様で、55名のメンバーがポリシーの策定やリスクの評価、セキュリティインシデントへの対応にあたっている。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画特集

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]