logo

ウェブセキュリティ最前線--「パラノイド」:それはヤフーのセキュリティチーム - (page 3)

文:Joris Evers(CNET News.com) 翻訳校正:大熊あつ子、高森郁哉2007年07月10日 21時38分
  • このエントリーをはてなブックマークに追加

 メキシコシティで育ったBejar氏は、サマーキャンプで『Commodore』をいじったことから、コンピュータに興味を持った。「そのあと家に帰ると、父の手元に誰かから譲り受けたコンピュータがあった。それにはゲームがついていなかったので、私はゲームをプログラミングする方法を学んだ」

 Bejar氏は、アプリケーションには開発者が意図しないことを実行させられる可能性があると気づいてから、セキュリティの感覚を培っていった。Clifford Stoll氏の有名なサイバー犯罪ノンフィクション「The Cuckoo's Egg: Tracking a Spy Through the Maze of Computer Espionage」(邦訳「カッコウはコンピュータに卵を産む」)からは、さらに多くのインスピレーションを得たという。

 「本には、あるシステムにおけるデフォルトのパスワードのことが書かれていた。私の学校が導入したのもこのシステムで、納入業者側の管理者はパスワードを変えなかったし、学校側の管理者も一度も変えなかった。そんなわけで、そのパスワードでいろんなことができた。学校側が気づいたかどうかははっきりしないが」(Bejar氏)

 Bejar氏は持って生まれたコンピュータの才能で、十代後半からIBMで働き始める。今でも親しい友人であるAppleの共同創業者Steve Wozniak氏とはここで出会い、Wozniak氏の勧めにより、ロンドン大学キングズカレッジで数学の学位を取得し、その間も現地のIBMで働いた。

 その後米国に戻ったBejar氏は、分散ソーシャルシステムを構築する新興企業で働いた。ここでの業績が評価され、同氏は約10年前にYahooに入社し、最初は課金アプリケーションを手がけることになった。

 「Yahooで働けば、大勢が使うものを開発し守ることに貢献できるという魅力が、私が入社する際の決め手になったし、これまで勤続してきた理由にもなっている」(Bejar氏)

 もちろん、大勢が使うものを開発し守るというのは立派な目標だが、「言うはやすし、行うは難し」だ。「Webアプリケーションは世界中の誰もが入手できる。だからこそ、厳しい吟味に耐えられるよう構築しなければならない」とBejar氏は語る。

 Bejar氏によると、理論的には、安全なWebアプリケーションを開発することは、優れたデスクトップソフトウェアを構築することと何ら違わないという。しかし、初期のPC向けプログラムとOSは、アクセスを考慮に入れていなかったため、ネットワークへの常時接続を念頭に置いた設計になっていない。

 セキュリティについて教えるカリキュラムでは、昔から暗号化などのトピックを重視してきた。「セキュリティは、何者かが悪意や不正な意図を持ってAPI(アプリケーションプログラミングインターフェース)を操作しようと試みる場合に起きるもの、とは定義されていなかった。だが、偶発的なものであれ、悪意ある誰かが外部から操ろうとする場合であれ、アプリケーションが想定外の振る舞いをしないよう、開発段階でセキュリティの観点からたくさんの工夫を盛り込む必要がある」とBejar氏は語る。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画特集

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]