ウェブセキュリティ最前線--「パラノイド」：それはヤフーのセキュリティチーム - (page 4)

　「こうした数多くの問題に名前が付く前から、われわれは問題に気づいていた。問題が初めて浮上したとき、旧来の手法はどれも役に立たなかった。だからわれわれは、自分たちで対策を考え出さなければならなかった」（Bejar氏）

　こうした対策の一環として、ウェブサイトやオンラインアプリケーションの潜在的なセキュリティ問題の検知と追跡を行うツールが、社内でいくつか開発された。そうしたツールの1つは、クロスサイトスクリプティングの問題を検出する「Scanmus」だ。この名称は、スクリプト言語「PHP」のオープンソース開発プロジェクトを立ち上げた人物で、ParanoidチームのメンバーでもあるRasmus Lerdorf氏に由来している。

　また、「Code Ferret」というツールは、コード内のバグを調べて、バグ追跡システムの「Pepe」に報告する。Pepeの名は、「ピノキオ」に登場するコオロギのキャラクター（Disney作品では「Jiminy Cricket」の名で知られる）にちなんでいる。

　これらのツールは、Yahooのシステムで機能するよう調整されている。同社は、商用アプリケーションとして売ることも検討したが、市場のニーズに合わせて調整し直すには膨大な時間がかかることがわかった。

　大変な苦労を伴う作業でも、費やす長い時間に値するものもあることを、Bejar氏は経験から学んでいる。Yahooに入社した1998年当時、Bejar氏は「El Pato」（スペイン語で「カモ」を意味する）と命名した1973年型「Porsche 911 Carrera」の修復に取り組んでいた。

　「Yahooが勢いに乗るころ、El Patoも息を吹き返した。私は、整備士のBobのアドバイスに従って、ほぼすべてのパーツを自作するか作り直すかした。El Patoの組み立てと、ここYahooでの私の仕事は、ある程度似通っているように思う。セキュリティプログラムの開発では、パーツを寄せ集めて形にするのに時間がかかる。そして、多様なパーツがどのように連携するのかを、繰り返し検討し理解する必要がある」（Bejar氏）

　だが今は、Yahooにとって、そうした重労働を外部と共有すべき時期かもしれない、とBejar氏は語る。

　「われわれの全員が、一緒にこの仕事をしている。そのうちの1人に何かあったら、すべてが影響を受ける」とBejar氏は語った。