チャーニー氏　われわれは数値目標を設けていません。x年のうちに脆弱性をx個にまで減らしたいというような話はしていません。当社では、どの点が以前より進歩したか、どの点がそうでないかを測定しています。緊急の脆弱性が見つかったときは常に、われわれはその根本的原因を分析しています。この分析は、脆弱性がどのようにして生じたか、単なるトレーニング、アプリケーション、開発ツール、テストツールの問題なのかを解明するためのものです。どのようにプロセスを改善できるかを理解できます。プロセスの改善に挑み続け、現状を以前の状況と比較して測定する……「脆弱性ゼロ」を目標にしたいとは思いますが、それは現実的ではありません。

チャーニー氏の課題

　新製品において使い勝手と後方互換性を維持しつつ、セキュリティを改善するのは容易ではない、インストールベースが莫大な場合はなおさらだ、とチャーニー氏は語る。インタビューの中で、同氏はより安全な製品を達成するための計画と、そこに向かう上での不満を語った。

――この（より安全な製品という）目標に至るための具体的な手だては？

チャーニー氏　当社が2003年にセキュリティ強化に取り組んだ際、トレーニングやコードレビューなどを行いました。そのプロセスから多くのものが生まれました。その1つがツール群で、これは今でも改良が続けられています。これらツールの一部は、独立系開発者が利用できるように製品化されています。実際の脅威のモデリングは、製品の設計段階で行っています。脅威モデリングは早い段階でやるほど良いのです。現在計画の段階にある将来の製品は、このプロセスを受けられます。現行の製品ではこのプロセスはありませんでした。もちろんその目的は、初期の段階で役に立つプロセスを用い、これらプロセスを改善、応用して、もっと厳重なものにしていくことにあります。それからある程度の測定を行います。

――設計段階での脅威モデリングの重要性、そして最近のWindowsが古いコードを基盤としていることを考えると、あなたのセキュリティ目標は、一部製品のコードを書き直さずに達成できるものなのでしょうか？

チャーニー氏　時間とともに価値がなくなって消えたコードもあれば、残っているコードもあります。そして新しいコードが追加されています。実際問題として、特に後方互換性と機能性を維持する場合、「ゼロから始めてまったく新しいものを作ろう」とは言いにくいものです。そうなれば顧客の移行パスが不可能になるでしょうから。このように、製品の機能性を保ちながら、顧客をより安全な環境に移行させるためにどうするかというジレンマにぶつかります。

　Windows Server 2003の導入に関する問題の1つに、幾つかの根本的な設計上の変更と最小権限の原則が、既存アプリケーションに障害を引き起こすというものがあります。そのため顧客から「当社は（Windows Server）2003を導入し、エンタープライズライセンス契約を結んでおり、Microsoft製品を持っている。だが手持ちの古いソフトを移行できない」という声が上がっています。ですから、当社は皆にWindows NT4/2000のサポートを永続的に続けてもらう必要があるのです。これらプラットフォームはあまり安全ではありませんが、顧客は「その通りだけれど、われわれは移行できない」と言うのです。

　初めからコードを作り直すのは、いろいろな理由からうまくいきません。ですが、これからも変化は続いていきますし、根本的な変更もあります。最小権限の原則、ファイルシステムの変更、プラットフォームへの（公開鍵インフラの）統合など、こうした変更はセキュリティ強化とある程度の後方互換性を維持するための継続的なプロセスを開始できます。ゼロから始めて4000万行の新しいコードを書いた場合、また違ったセキュリティ問題を招くことになるのではないでしょうか。

――あなたはMicrosoftで2年以上セキュリティに従事していますが、その中で期待していたより進展が遅いと感じる分野は何ですか？

チャーニー氏　脅威モデルが変化し、悪党が攻撃性を増すにつれて、迅速な反応が必要なケースが多くなります。まるで捜査機関にいるかのようです。犯罪者たちは悪事を働いていますが、（その対応に）すべてのリソースが注がれるようになるのは、ウェーコ事件（カルト教団が当局と銃撃戦を展開した）のような本当に劇的な事件が起きてからなのです。今の問題への対処と、将来に向けた開発と戦略のバランスをうまく取ることが理想ですが、脅威を無視することはできません。悪党が悪事を働けば――Blasterウイルスのまん延はご存じでしょう――われわれは必要な対策を取ります。ですが、それはほかの分野のリソースを使い果たすことになります。