| エンタープライズ:コラム | 2003/02/21 11:44:00 更新 |
OSCAR Column:あなたのLinuxは安全か?−サーバ管理問題を露呈したSlammer−
Slammerワームの報道は、インターネット界へ新たな問題を投げかけた。すでにワクチンが存在していたはずのウイルスに対し、適切なアップデート手段は何なのか? そう問いかけるよい機会になったのだ
米太平洋時間の2003年1月24日21時30分頃、Slammerワームの影響でインターネットの基幹において問題が起きた。ひと言でいえば、アクセス先につながりづらくなってしまったのである。この状況は米国でも約4時間は続いた。
特に被害を受けた地域は韓国だったと報じられているが、日本や米国でも個人や企業ユーザーが体感できるほどの影響が見られた。推定で12万台のサーバがウィルス感染したと伝えられている。
承知のようにSlammerワームはWindowsのSQLサーバーをターゲットに考案されたウィルスだ。しかしながら、新種のウィルスではない。既にその存在は広く認識されていたのである。たとえば、マイクロソフトからも2002年8月にセキュリティ情報(MS02-039)としてその修正プログラムが提供されている。つまり、このウィルス対しては予防する方法があり、適切な対策を講じていれば発病することはなかったはずなのだ。ところが問題は起きた。
SlammerのターゲットとなるのはSQLサーバだけだ。そのSQLサーバはWindowsの標準的なRDBMSである。そして、Windows XPクラスのデスクトップPCでも動作する。このことが最大の問題であったのだ。つまり「誰も」がSlammerウィルスの保菌者・感染者になりうるわけだった。世界中の膨大な数のクライアントを含めたWindowsがターゲットだったのだ。そして誰もがそれを知っていたはず? なのだ。
マイクロソフトの社内サーバも被害を受けた。自らパッチを提供していたにも関わらずである(http://zdnet.com.com/2100-1105-982305.html)。
マイクロソフト社内のサーバ管理責任者は、社内外からの批判の矢面にたたされ、今後の対策に苦慮しているようだ。しかし感染ルートを調べてみると、気の遠くなる事実が発覚した。それは、ポータブルなWindowsクライアントにSQLサーバをインストールするマイクロソフトの社員が相当数いたという事実だ。そのような「末端の」環境にまでSlammerワームのパッチを確実にインストールし管理を厳重にすることは、その時点では不可能だった。マイクロソフト自身が成し得なかったことを、ユーザーができるのだろうか? つまり、マイクロソフトが提供するパッチ提供スタイルは、機能しないという事実が露呈されたのである。
それではLinuxは安全なのか? SlammerはWindowsのみでしか機能しないウイルスだが、ほかのものが登場するのは日常茶飯事だ。そのため、Linuxユーザーのための修正パッチは、ほぼ毎日のようにアップデートされている。
オープンソースのおかげで、修正パッチの提供は早いのだ。問題が起きると、遅くとも24時間以内に対応されている。しかし、適用しなければ意味がない。このことを冷静に受け止めている人は意外と少ないのではないだろうか。
レッドハットでは、約2年前からRed Hat Network(RHN)によるパッチの自動配信・受信メカニズムが、製品に標準装備されている。RHNは現在、パッチ管理のほか、システムのモニタリング、OSやアプリケーションのバージョン管理、プロビジョニングなど、総合的なマネジメント・サービス機能にまでその機能範囲を広げているのだ。
一般のRed Hat Linuxのユーザー向けには、レッドハット米国本社や日本、韓国などにもサーバが置かれており、基本的にはWeb経由でサービスが提供されている。しかし、米国におけるレッドハットの最大規模のユーザー、たとえばAOLタイム・ワーナーやゴールドマン・サックスなどではRHNのサーバをユーザーの社内のファイアウォールの内側に設置し、対策に万全を期しているという。つまり、Linuxのビジネス・モデルの根幹は、このような問題を解決する手段を提供することにあったのだ。今後のLinuxのビジネスはOSの販売に依存するのではなく、問題を解決するサービスと、それに見合う料金の折り合いで決まる。企業のためのLinuxは、低料金で、24×7(Twenty Four by Seven)が標準的なサービスになる、ということも間違いのないところだ。
チェン・シン(Chen Shin)氏は、米国在住のフリージャーナリスト。レッドハットやユーザー企業が中心となって設立したオープンソース推進団体、OSCAR(Open Source Consulting Advisory Relationship)アライアンスのコラムニストとしても活躍。
[チェン・シン,OSCARアライアンス]
