マイクロソフトの信頼できるコンピューティングの再編:未来への回帰、良いことかもしれない
クリストファー・バッド著
[編集者注: GeekWire 寄稿者の Christopher Budd は、Microsoft のセキュリティ レスポンス センターで 10 年間勤務しました。]
今週の Microsoft の変更後、明らかな疑問が浮かびます。Trustworthy Computing Group (TwC) の分割発表は、Microsoft のセキュリティとプライバシーにとって何を意味するのでしょうか?
残念ながら、今のところマイクロソフトからは具体的な情報があまり出ていません。マイクロソフトに詳細を問い合わせましたが、公表されている以上の情報は提供できないとのことです。しかしながら、マイクロソフトのセキュリティレスポンスセンター(MSRC)とTwCでの経験と、マイクロソフトがこれまで公に発表してきた内容を踏まえると、マイクロソフトのセキュリティとプライバシーの今後、そしてそれが長期的にどのような意味を持つのかについて、ある程度の推測はできると思います。
重要なのは、Trustworthy Computing Groupという名称の組織は消滅しますが、それはMicrosoftにおける「Trustworthy Computing」が消滅することを意味するわけではないということです。Trustworthy Computingという概念と原則は、2002年1月15日のビル・ゲイツのメモから始まりました。Trustworthy ComputingはTrustworthy Computing Groupが設立される前から存在しており、Trustworthy Computing Groupが設立されなくても存続可能です(そして、これからも存続し続けることを願っています)。
まず、Microsoft セキュリティ レスポンス センターと Microsoft セキュリティ エンジニアリング センター (MSEC) が、スコット・ガスリー氏のクラウドおよびエンタープライズ部門に移管される可能性が高いと考えています。MSRC は、Microsoft の全製品およびサービスにおける脆弱性への対応を担当するグループであり、MSEC は、進行中のセキュリティ開発ライフサイクル (SDL) を含む Microsoft 製品およびサービスのセキュリティ向上を担当するグループです。どちらのグループも、その根幹はエンジニアリングであるため、このような移行は理にかなっています。これは、TwC のジョン・ランバート氏が昨日ツイートした内容とも一致しています。
第二に、プライバシーグループはブラッド・スミス氏の法務・コーポレートアフェアーズ(LCA)グループに移管される可能性が高いと考えています。プライバシーという分野は、ポリシーとコンプライアンスに重点を置く傾向があるため、LCAに所属することは理にかなっています。さらに、プライバシー部門には当然ながら弁護士が多く所属する傾向があるため、LCAは文化的にも組織的にも理にかなった選択と言えるでしょう。
ある意味、これらの変更は組織的に理にかなっています。既に述べた理由に加え、MSRCとMSECの移行は、実際には未来への一歩後退を表しています。2008年頃に旧セキュリティ事業部(SBU)が当時はるかに小規模だったTwCに統合される以前は、組織的にはWindows製品グループに属していました。クラウド&エンタープライズグループはWindowsグループの後継と言えるため、MSRCとMSECは再び故郷に帰ってきたと言えるでしょう。
これはすべて結構なことですが、実際のところこれは何を意味するのでしょうか?
まず、これはマイクロソフトのセキュリティにとって良い意味を持つ可能性があります。現実として、マイクロソフトにおける真の力は、各グループがどれだけの収益を担っているかによって決まります。MSRCとMSECの前身がWindowsの一部であった当時は、そのグループの力を活用して物事を成し遂げることができました。TwCは収益を生み出すグループではなかったため、その力は低下しました。私が在籍していた頃の私の意見では、この状況があったからこそ、Windowsの一部であった方が、独立したTwCの一部であった時よりも多くの成果を上げることができました。また、セキュリティエンジニアリンググループは、実際のエンジニアリング作業を行う人々により近い位置に置かれます。これがマイクロソフトの実際の業務の進め方です。メアリー・ジョー・フォーリーは、マイクロソフトのパッチ適用プロセスに変更が加えられるという噂があると述べています。このようにこれらのグループを移行することで、より効果的に対応できる可能性があります。ちなみに、マイクロソフトのパッチ適用方法に関する最後の大きな変更は、これらのグループがWindowsの一部であった時に発生しました。2008年にこれらのグループがTwCの一部となって以来、パッチ適用方法に大きな変更はありません。
プライバシー保護団体にとっても、同様の理由でこれらの変更は有益となる可能性があります。LCAは収益を生み出す団体ではありませんが、収益を生み出す団体とほぼ同等の影響力を持っています。LCAは歴史的に、WindowsやOfficeなどの団体と互角に渡り合い、反トラスト法上の懸念などからこれらの企業に影響を与える変更を課す力を持つ唯一の団体でした。プライバシー保護団体の本質は、企業に対し「たとえそれがあなたのビジネスにとって良いことであっても、それはできません」と伝えることです。LCAに加盟することで、こうした主張は今よりもはるかに効果的になります。
つまり、TwC というグループは消滅することになりますが、長期的にはセキュリティとプライバシーにとって実際には良い結果をもたらす可能性があるということです。セキュリティとプライバシーに関する応用原則としての TwC は、これまでよりも強力なものになる可能性があります。
だからといって、これは簡単なことではありません。突然仕事を失った優秀な人材をたくさん知っています。それに、TwCを「廃止する」という「世間体」(マイクロソフトの言い方を借りれば)は良くなく、セキュリティとプライバシーがもはや優先事項ではないという印象を与えかねません。
しかし、表面的には、マイクロソフトの実際の業務の進め方を考えると、正しく実行されれば、これはマイクロソフトのセキュリティとプライバシーにとって良いこととなるかもしれません。しかし、時が経てば分かるでしょう。これが何を意味するのかは、言葉ではなく行動で明らかになるでしょう。マイクロソフトはセキュリティとプライバシーにおいて確固たる伝統を誇り、私たちの多くが長年かけて築き上げてきました。私たちは皆、今回の変更がその伝統を損なうのではなく、さらに強化し、発展させてくれることを願っています。
