MSセキュリティのこの10年：手痛い教訓をバネに

ソフトウェア以外の業界の研究

　Microsoftは自社のセキュリティ対策の体制を整備する上で、ソフトウェア以外の業界を研究する必要があった。「私たちより前に誰も考える必要がなかった」とNash氏は語る。Microsoftが指針として使った企業の一つが化学メーカーのDuPontだ。全く似ているというわけではないが、DuPontが列車事故にどのように対応したかを学んだ。

　学習した教訓の中に、緊急事態は時を選ばないというものがあった。そこでMicrosoftはもっと頻繁に人を集めることが必要になった。Nash氏は当時の体制をこう振り返る。「確かに銀行のような時間帯ではなかったが、24時間週7日体制でもなかった」

　Katie Moussouris氏は Microsoftに入社前にAtStakeで数年勤務した経験を持つが、Microsoftの態度と慣行に、少しずつだが目に見える変化があったことを思い出す。

　現在はSecurity Engineering and Communications GroupのセキュリティストラテジストであるMoussouris氏は、「ちょうど航空母艦が舵を切るのと同じ。曲がるのに相当な距離と時間がかかる。やっと前進し始めた」と語る。

　最後に努力は実るものだが、2003年1月のSlammerで幕を開けた強力なワームの時代を阻止するには、まだ力足らずだった。

　Stathakopoulos氏は以前、SymantecのVincent Weafer氏から午前3時に電話を受け、SQL Serverの既知のバグが攻撃されたと伝えられたことを思い出す。電話口では意識が朦朧としていたが、その脆弱性には何ヶ月か前にパッチを当てていて、Microsoft としてできることは何もないと思い、ベットに戻った。約20分後に上司のNash氏から電話が入り、何か策を講ずるべきだと指示を受けた。

　Window Snyder氏はその次の土曜の朝、会議に出席中にStathakopoulos氏に呼ばれ、部屋から出るよう指示されたのを思い出す。2人がまっすぐ向かった先は別の会議室で、そこには発狂寸前の人たちが大勢集まっていた。

　当時Microsoftのセキュリティアウトリーチチームの一員だったSnyder氏は、「とても苦しい経験で、緊迫状態だった」と述べる。Snyder氏は現在Microsoftを離れ、Mozillaのある分野でセキュリティ責任者を務めている。

　Slammerの後にもBlasterなどが登場した。Snyder氏は2002年と2003年にチーム内に漂っていた恐怖感を思い出す。

　「その時点では、出口の見えないトンネルに思えた」とSnyder氏は語る。

　しかし事態は変わった。大量メーラーはボットネットに主役の座を譲った。ボットネットとはハッカーが乗っ取ったコンピュータのネットワークで、スパムの送信やクレジットカード情報の取得、オンライン広告のクリックなどを目的としたものだ。的を絞った攻撃の方が金になると知った犯罪者たちは、広範囲に渡る攻撃への興味が薄れた。Microsoftはこのような動きを受け、セキュリティ脅威は顧客をただ困らせたり生産性を下げたりするだけのものではなく、金銭的な損失を被るものと考え、手法を変更した。

　脅威が偶発的な被害ではなく避けがたい現実になるにつれ、Nash氏はセキュリティチームに専用スペースが必要だと実感した。「昔は会議室を占領していると、他の人から『会議室がいるんだ』と言われ、『ウチも会議室がいるんだ』と言い返したものだ」

　緊急時の対応にはコミュニケーションが重要な役目を負うとはいえ、「作戦司令室」は2つ必要だとNash氏は判断した。そうすることで、エンジニアチームがブレーンストーミングをしながら、別の社員が顧客やマスコミと連絡できるようになる。2005年6月、Microsoft Security Response Centerが完成した。2つの部屋は1つの扉でつながっていて、必要なときは両方の部屋の人がすぐ会えるようにした。

　Microsoftはまた、セキュリティの教訓を社内全員に苦労して学ばせる余裕はないことにも気づき始めていた。より多くの社員が、巷にあふれる脅威に気づくことが必要だった。

　セキュリティコミュニティとの対話を増やすことが必要だと感じたSnyder氏は、Blue Hatのアイデアを提案した。これはMicrosoftの社内カンファレンスで、ハッカーが同社のエンジニアの前で発言するというものだ。このアイデアは最初は物議をかもした。社内のエンジニアが頭痛のタネとして非難する連中と面と向かうという考えは、皆がよしとしたわけではなかった。

　Windows担当リーダーであるJim Allchin氏も、最初に反対した一人だ。自分のチームが作った製品にセキュリティホールを開ける人たちと顔合わせするというアイデアは、気に入らなかった。Nash氏はAllchin氏が、「要するに、その連中にウチの製品をハッキングさせてシステムにこれこれの問題があると言わせ、私にそれを聞いていろというのですね」と語ったことを思い出す。それに対してNash氏は、そう、まさにそれをして欲しいんだと答えた。