Microsoft セキュリティ強化 20 年の歩み

　Microsoftは現地時間1月21日、同社の取り組み Trustworthy Computing（信頼性の高いコンピューティング）の20周年を記念した同社セキュリティレスポンスセンターAanchal Gupta氏のコメントをブログで発表した。

　同氏によると、ビル・ゲイツは20年前の同じ週にMicrosoft全社員に向けて「TwC（Trustworthy Computing）」イニシアチブの設立を発表するメールを送ったが、この取り組みは、顧客のセキュリティ、ひいては顧客の信頼を最優先に考えることを目的としていたという。ゲイツ氏のメモには「電気、水道、電話などの標準的なサービスと同じように、利用可能で、信頼性が高く、安全な製品を提供する」ことが各チームに求められていた。

　2001年には「CodeRed」と「Nimda」がMicrosoft製品を攻撃、このワームをきっかけに、C++コンパイラチームは、コンパイルしたコードに自動的に防御機能を追加する方法について検討を始め、Microsoft Researchはセキュリティバグを見つけるための解析ツールの開発に着手するなど、社内の変化を感じられた。

　Microsoftでは2003年に、セキュリティアップデートのプロセスを最初のPatch Tuesdayに統合、顧客に予測可能性と透明性を提供した。

　2005年には、初のセキュリティカンファレンス「Blue Hat」を外部のセキュリティ研究者を招き開催した。

　2008年にはセキュリティ開発ライフサイクルを発表し、開発プロセスのすべての段階におけるセキュリティとプライバシーへの配慮に対するMicrosoftのアプローチを説明している。

　また2011年のBluehat Awardを皮切りに、MicrosoftのBug Bounty Programでは4,000万ドル以上の報奨金が授与され、60ヶ国以上のグローバルなセキュリティ研究コミュニティとの重要なパートナーシップが評価されている。