マイクロソフト、自社の開発ノウハウをWebサイトで公開

マイクロソフトは12月8日、安全なアプリケーション開発のために同社が蓄積したノウハウなどを提供する、開発者向けの支援策を発表した。

[柿沼雄一郎，ITmedia]

　12月8日、マイクロソフトは安全なアプリケーション開発のための情報提供を行う開発者向け支援策を発表した。

　この施策は、同社が社内での製品開発や業務システム開発に用いている手法を公開し、アプリケーションの開発をしている人々にナレッジとして共有してもらい、よりセキュアなソフトウェアの作成を支援するもの。

　Microsoftのアプリケーションプラットフォームおよびデベロップメントチームで製品マネジャーを務めるリック・サモナ氏は、「今や、セキュリティに関する脆弱性はネットワークではなく、大多数がアプリケーション層に存在するものだ」という。にもかかわらず、「安全なアプリケーション開発に必要な知識を持っていると答えた国内の開発者はわずか5％に過ぎない」（同社 デベロッパービジネス本部 本部長 北川裕康氏）ことが同社の調査で明らかになっている。

Microsoft アプリケーションプラットフォームおよびデベロップメントチーム 製品マネジャーのリック・サモナ氏

マイクロソフト デベロッパービジネス本部 本部長 北川裕康氏

　こうした状況を改善すべく、同社がTrustworthy Computingイニシアティブの一環として打ち出したのが、今回の「開発者セキュリティ」施策だ。

　この施策の大きな柱の1つが、同社がWindowsやOfficeといったアプリケーションを社内開発する際のプロセスであるSoftware Development Lifecycle（SDL）と、自社内システムを開発する際のプロセスであるSDL-ITを公開し、開発者と情報共有を図るというもの。

　サモナ氏は、SDLを適用して開発されたWindows Server 2003は、それ以前のWindows 2000 Serverと比較して脆弱性の報告数が圧倒的に少なくなったと説明、以後すべてのマイクロソフト製品はSDLの適用を受けているという。

　このSDLおよびSDL-IT（SDLよりも運用期間の短い製品向け。主にマイクロソフト社内で運用されるアプリケーションに適用されている）を公開し、合わせてパートナーとの啓蒙活動を通じて、開発者に対してセキュアなアプリケーション作成を支援する。

　さらに、同社の開発者向けWebサイトであるMSDNオンラインを12月8日より強化し、SDL／SDL-ITの情報のほか、セキュリティガイダンスやホワイトペーパー、オンライントレーニングなどのコンテンツを積極的に拡充していく。

　2006年3月2日には、開発者を対象に包括的なセキュリティトレーニングを提供する「Developer Security Day」も東京にて開催される。また先日発足したVisual Studio User Groupeとも連携し、技術トレーニングの共同展開なども行っていくという。