技術全体を統括している立場から、セキュリティを専門としない読者の方々に対して、セキュリティの取り組みについて紹介しています。
このブログをご覧になっている方にとっては目新しい内容はないと思いますが、加治佐がブログを書き終えたときに言っていた「セキュリティって難しいんだな！」という思いに共感される方も多いのではないでしょうか。これはセキュリティに関わる多くの人達が感じることだと思います。自分の中では確立した概念であっても、それをわかりやすく伝えていくというのは、とても難しい作業であるということを日々感じています。

では、ソフトウェアの脆弱性を減らすために、どのような取り組みをしているのでしょうか。1990年代半ば以降の爆発的なインターネットの普及ともに、コンピューターウイルスの蔓延（まんえん）しやすい環境となりました。マイクロソフトでは、脆弱性を発見するための特殊部隊を編成して、様々な解析と攻撃を重ねながら製品開発を行いました。製品出荷後は、脆弱性が見つかったら、緊急性に応じた対策を遅延なく行い、更新プログラムを迅速に配布してきました。その一方、悪意の攻撃者が、攻撃の高度化とスピードを加速したことから、見つかった脆弱性に迅速に対処するという従来の方針では明らかに不十分な状態となりました。具体的には、2001年に、”Codered”、 “Nimda”といったワームが蔓延し、多くのコンピューターが感染するという全世界的に大きな混乱を引き起こしました。更に、2001年9月11日の悲惨な「同時多発テロ」により、物理的、電子的な「セキュリティ」の確保が、全世界的に社会的な大きな課題になりました。このような背景の中、マイクロソフトでは、2002年に「Trustworthy Computing（信頼できるコンピューティング）」の実現を目指すというメモ（英語）をビル ゲイツが社内外に向けて発信しました。そして、セキュリティを製品の設計段階から一貫した、特別部隊ではなく開発者すべてがセキュリティを最重要視した「セキュリティ開発ライフサイクル (SDL)」という新しい開発手法への大転換を行いました。それ以降、ソフトウェアの脆弱性を減らし、安全性を高める上での大きな成果を上げています。

果てしなく続くセキュリティへの取り組み – The Official Microsoft Japan Blog