【解説】
マイクロソフトのセキュリティ戦略――ゲイツ氏の“功罪”とは

問題の元凶から改革の旗振り役に転向したトップのメッセージ

（2008年06月27日）

米国Microsoft会長のビル・ゲイツ（Bill Gates）氏は来週、同社の常勤取締役を退く。同社の“アイコン”として33年間君臨し続けてきたGates氏。それは同時に同氏の方針が、Microsoftの行く末を左右するということでもあった。本稿ではGates氏が同社のセキュリティ戦略に及ぼした影響を、ITアナリストらのコメントを中心に振り返ると同時に、今後、同社が抱える（であろう）セキュリティ戦略の課題を紹介する。

Jaikumar Vijayan
Computerworld米国版

セキュリティ方針を180度変えた1通のメール

　Gates氏が1通のメールを全社員に送信したのは、2001年9月11日の米国中枢同時多発テロ発生から間もないころだった。メールのタイトルは「Trustworthy Computing（信頼できるコンピューティング）」。そこにはMicrosoftが今後、セキュリティを最優先にし、将来の脅威に耐えうる信頼性の高い製品を開発する必要性が強調されていた。

　「われわれがセキュリティを最優先にしなければ、人々はわれわれの製品を利用しようとは思わなくなる――あるいは、利用できなくなる――だろう。（中略）われわれは業界のリーダーとしてさらに（セキュリティ問題への）対応を改善することができるし、そうしなければならない」（Gates氏のメールより）

　アナリストらは、この社内メールがMicrosoftのセキュリティ問題への取り組みを大きく改善させたと指摘している。

　米国Forrester Researchでアナリストを務めるハーリド・カーク（Khalid Kark）氏は、「このメールによってGates氏は“ビジョン”を定め、Microsoftとその製品開発方法に根本的な変化を促した」と指摘する。

　Gates氏のメールで打ち出された方針は、Microsoftの当時のCTOだったクレイグ・マンディ（Craig Mundie）氏が推進した。そして、「セキュリティ開発ライフサイクル（Security Development Lifecycle：SDL）」という高いコストがかかる新しいプロセスが構築されたのである。

　このプロセスは、製品のリリース後ではなく、開発過程でセキュリティ上の問題点を発見／修正できるように組まれたもので、社内の全開発者にSDLプロセスを徹底するために多大な費用が投じられた。SDLプロセスを採用した最初の製品は、Windows Server 2003である。

　もう1つTrustworthy Computingによって導入されたセキュリティ対策がある。それが月例修正プログラムの配布だ。ときには配布スケジュールが変更されたり、3日と空けずに修正プログラムが再配布されたりすることもあるが、定期的に修正プログラムを配布する方式は、ソフトウェア業界の1つのモデルとして定着したと見る向きも多い。

　さらにGates氏のメールは、Microsoftとセキュリティ調査会社やセキュリティ専門家らとの間にあった“深い溝”を埋め、冷戦状態だった両者の関係を改善させる道筋をつけたとも言える。

　なぜならこのメールは、Microsoftが使いやすさと新機能を追求した結果、製品のセキュリティが犠牲になっていたことを認めたものだったからである。同氏はメールの中で「機能追加とセキュリティ問題の解決の間で選択を迫られたら、セキュリティを優先しなければならない」と明言している。

　米国の調査会社Gartnerでアナリストを務めるジョン・ペスカトーレ（John Pescatore）氏は、「創業から2001年までに関して言えば、Microsoft製品にセキュリティ問題が多かった最大の原因は、Gates氏の姿勢だった。同氏は市場志向が強く、顧客はセキュリティよりも使いやすさを求めていると言っていた」と語る。

　「しかしGates氏が（セキュリティの）問題意識に目覚めたことで、Microsoft社内では多くの変化が起こった。それらの変化は技術的なものばかりではなく、Microsoftがプロダクト・マネジャーをどのように査定するか、製品のパフォーマンスを社内でどのように評価するか、製品がリリース可能な状態になったかどうかをどのように判断するか、といった点も含まれていた」（Pescatore氏）

｜1｜2｜ > 次のページへ