MS、有名ハッカーを使いVistaに大規模侵入テスト（2/2 ページ）

Microsoftは、RPCの脆弱性を発見したハッキンググループや外部のコンサルタントを雇い入れ、「かつてない規模」によるVistaのセキュリティテストに取り組んでいる。

[Ryan Naraine，eWEEK]

　侵入テスターたちは、Microsoftの製品チームおよびセキュリティ技術者のメンバーに自由に連絡することができ、1週間から2カ月の期間をかけてVista内部の潜在的なターゲットへの攻撃を試みたという。

　テストの目的は欠陥を診断することにあり、必要に応じて技術的対策が講じられた、と同氏は語る。

　ラスベガスで開催された「Black Hat Briefings」カンファレンスにおいて満席のプレゼンテーション会場でランバート氏は、侵入テストの結果のサンプルを公表した。同氏によると、このテストでは、セキュリティをめぐるさまざま仮説と矛盾する不可解な結果が数多く得られたという。

　このコードレビューでは、「想像力の欠如」（ランバート氏）の問題やプロセス上の不備のほか、こっけいなファイル名やばかげたファイル名も幾つか見つかった。

　Windows製品管理を担当するディレクター、オースティン・ウィルソン氏によると、同社はSDL（セキュリティ開発ライフサイクル）の実装に協力する外部コンサルティング企業も10社確保したという。SDLはソフトウェアのライフサイクル全体にわたるMicrosoftのセキュリティ指針であり、ソフトウェア開発のあらゆる段階をカバーする。

　これらの外部コンサルティング企業には、ニューヨークを拠点とする新興企業のMatasanoも含まれる。同社は、Microsoftの元セキュリティ戦略担当者であるウィンドウ・スナイダー氏、@Stakeの共同創業者のデイブ・ゴールドスミス氏、SecurityFocusの共同創業者のジェレミー・ラウチ氏、Arbor Networksの元開発者のトーマス・プタセック氏など、著名なセキュリティ専門家をスタッフとして抱えている。

　Oracle製品の脆弱性を発見したことで知られる英国のデータベース・セキュリティ企業、NGSSoftwareも、Vistaのセキュリティテストを実施する協力会社となっている。

　ウィルソン氏によると、協力コンサルティング企業のリストには、Cybertrust、iSec Partners、Code Blau Security Concepts、I/O Active、Net-square、Password Consultancy、Security Innovation、n.runsも含まれる。