「脆弱性の指摘を歓迎し,公式に感謝の意を表している」---米Googleのセキュリティ・コンプライアンス担当ディレクタ Scott Petry氏は2008年4月24日,セキュリティ会議/展示会「RSA Conference Japan 2008」の基調講演で同社のセキュリティ対策のポリシーを紹介した。
「我々は,会ったこともない人が作ったソフトウエアを使いアプリケーションを開発し,さらにそれを誰がどのように使うか予測できない。かつての情報システムは中身が全て把握でき,誰がどう使うか予測できるホワイトボックスだった。しかしもうホワイトボックスアプローチは通用しない。今日のシステムは,何を知らないのかさえわからないブラックボックスだ」---Petry氏は,セキュリティをめぐる状況はWeb 2.0時代を迎えて大きく変化していると指摘する。
そして「Googleは攻撃者にとって,ネームバリューのある,攻撃しがいのあるターゲットだ」(Petry氏)。
このような状況に対し,Googleはどのように対応しているのか。
Googleのやり方は,一見遠回りだ。Petry氏によれば,Googleでは社員に,強制や制限をなるべく避けるようにしているという。例えばパスワード設定の際にも,8文字以下のパスワードは許さないといったことはしない。パスワードの強度は表示するが,実際にどうするかは社員に任せる。他のドメインのユーザーと情報を共有するにも,警告はするが制限はしないという。
重視しているのは,規範を内面化することだ「セキュリティ確保が文化になるようにしている」(Petry氏)。新たに入社した社員(Nooglerと呼ぶ)に対してトレーニングし,テストし,レビューし,外部の専門家による監査を行い,といったサイクルを繰り返し,セキュリティのスキルと意識を高めていく。
そして「隣人の手を借りる」(Petry氏)。Perty氏は「攻撃は教訓だ」と言う。「攻撃ログから貴重なヒントが得られる」(同)。
それだけでなく,なるべく多くのユーザーに脆弱性(セキュリティ・ホール)を発見してもらうことを目指している。脆弱性の指摘には必ず対応し報告することを約束。脆弱性を発見してくれた人はGoogleのホームページに名前を掲載し公式に感謝の意を表している。「このやり方は効を奏した」(Petry氏)。Googleと競合する部分もある米Yahoo!のセキュリティチーム「paranoid」もGoogleのアプリケーションの脆弱性を発見し報告している。Web 2.0的な,衆知を集めることを重視したセキュリティ対策のあり方だ。
「世界は変化している。セキュリティ対策のあり方も変わっていかなければならない」---Petry氏は変化の重要さを聴衆に訴えた。
