ウェブ上の脆弱性にはクロスサイトスクリプティングのバグも含まれる。このバグは、個人用アカウントをハイジャックの危険にさらしたり、データ窃盗を目的としたフィッシング詐欺に悪用されたりするだけでなく、信頼できるサイトに悪意のあるコードを埋め込むためにハッカーが利用することもある。またSQLインジェクションもよく知られている問題の1つであり、攻撃者はウェブアプリケーションに隠れてデータベースを不正に操作してしまう。
Microsoftブランドのウェブサイトを業務提携している他社に部分的または全面的にホストさせるなど、Microsoftが事業を拡大するのに伴い、これらの企業との関係に伴う問題を含め、これまでにはなかった新たなリスクも生まれている。たとえば2005年にはMSN Koreaの提携先が、オンラインゲームユーザーの資格情報をMSN Koreaの顧客PCに不正に記録されるというサイバー犯罪の被害に遭っている。
Microsoftは同年、ソフトウェアが「ライブ時代」に入ったことを宣言するオンラインイニシアティブを立ち上げ、「Office」と「Windows」のオンライン版を発表した。また最近では、同社の初期オンラインアプリケーションの1つである「Hotmail」の改良版も発表している。
「ライブ」化を進めるこの取り組みは、オンラインアプリケーションの勢いに乗じようというMicrosoftの企てを表している。オンラインアプリケーションの開発に使われるAjaxなどの新しい開発技術は、ウェブサイトを従来のデスクトップアプリケーションのように動作させてその機能を拡張するものであるが、それは同時に、セキュリティ侵害を招く新たな原因ともなっている。
Boden氏は次のように語っている。「当部門の取り組みに対するプレッシャーは強まったが、セキュリティモデルを作成することにより、業務部門をセキュリティ構想に本格的に関与させることに成功している」。
Microsoftは、全社一丸となってセキュリティに取り組んでいるという点で競合他社と類似している。マッシュアップが開発形態としてますます一般化する中、セキュリティ面での協力体制なくして複数のオンラインアプリケーションを接続することはできない。
Boden氏は、競合他社のセキュリティ責任者と同様に、セキュリティがなぜそれほどまでに重要であるかを心に留めておくことが大切であると言う。情報のオンライン保存が続けられる中、ウェブは個人用ファイリングキャビネットとして使われつつある。
その意味では、あらゆる個人データをウェブアプリケーションに保存しているBoden氏自身やセキュリティ担当部門のメンバーたちも例外でない。
Boden氏は次のように語る。「私たちはすべてを賭けている。この取り組みが失敗すれば、個人としてだけでなく、キャリア面でも大きな痛手を被ることになるだろう」。
この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。 海外CNET Networksの記事へ
CNET Japanの記事を毎朝メールでまとめ読み(無料)
住環境に求められる「安心、安全、快適」
を可視化するための“ものさし”とは?
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス