エンタープライズ:ニュース 2003/02/21 20:33:00 更新


オープンソースのセキュリティは高いか――デベロッパーズサミット 2003レポート

2月20日から21日にかけて、東京・青山ダイヤモンドホールを会場に、翔泳社主催のカンファレンス「デベロッパーズサミット 2003」。この中で、龍谷大学理工学部の小島肇氏が、オープンソースのセキュリティについて言及するセッションを行った。

 2月20日から21日にかけて、東京・青山ダイヤモンドホールを会場に、翔泳社主催のカンファレンス「デベロッパーズサミット 2003」が行われた。XMLから.NET、Java/EJB、Webサービス、あるいはストレージやセキュリティと、最近旬のテーマを取り揃えたセッションの数は、60余りに及ぶ。

 中でも、21日に行われたセキュリティに関するテクニカルセッションは、毎回立ち見が出るほどの盛況となった。

 2002年の終わりごろから今年にかけて、にわかに、政府や地方自治体でのオープンソース導入・活用について活発な議論がなされるようになった。背景には、他国製技術に依存することの是非という政治的な観点もあるだろうが、むしろ、オープンソースのOSを取り巻くアプリケーションや管理ツールの充実、機能や信頼性の向上があったことが大きいだろう。また実際的な観点からは、導入・運用コストの削減やセキュリティの強化も、オープンソースの大きなメリットだと言われている。

 しかし、本当にそうだろうか? しばしば「オープンソースだから安い」「オープンソースだから安全だ」という極端な言い方がされることもあるが、現実には、そう簡単に結論付けることはできない。オープンソースの良さを否定するものではないが、クローズドソースであっても、運用や開発でしっかり目配りを行い、知恵を絞って運用すれば、妥当なTCOで、安全なシステムを実現できるはずだ。逆にたとえオープンソースを採用したとしても、適切な運用が欠ければ、安価でもなければ安全でもないシステムになってしまうだろう。

 デベロッパーズサミット 2003では、このオープンソースとクローズドソースのセキュリティについて言及するセッションが行われた。「Windowsは危険? Linuxなら安全?〜安全性に関する真実と現実的なつきあい方」と題したセッションの中で、龍谷大学理工学部の小島肇氏は、「オープンソースだから安全だというわけではない」と指摘した。

 一例としては、セキュリティ関連情報の提供体制が挙げられる。問題そのものの修正については、LinuxやFreeBSDといったオープンソース陣営の対応は、比較的すばやく行われている。しかし情報提供となると、十分満足できる水準とはいえないのが現状だ。

 クローズドソース陣営の代表格ともいえるマイクロソフトでは、セキュリティ情報について日本語で、それもメールを用いてプッシュ形式で告知する体制を整えている(そのユーザー層や影響力の大きさを考えればまだ不十分だが)。これに対し、国内各ディストリビューションの体制はどうか。中には、プッシュ形式での配信どころか、日本語での情報すら提供されない場合もあると小島氏は述べている(無論、ユーザー自らが積極的に情報を収集しに行くのが望ましいのは言うまでもないが)。その意味で、「Linuxにも、Windows並みのプッシュ形式での情報配信を期待したい」(小島氏)。

 OSインストール直後のデフォルト設定を見比べてみても、一概にオープンソースのほうが安全な設定になっているとは断定できない。Windowsプラットフォームが安全だというわけではないが、Linuxでもディストリビューション(およびバージョン)によっては、デフォルトでいくつか重要な、そして攻撃者にとっては格好の目標となるサービスが動いてしまうこともあるという。したがって、「Linuxだから安心だという思い込みを捨て、状態を確認した上で、不要なサービスを停止したり、パケットフィルタを行ったりという設定をきちんと行う必要がある」(同氏)。つまりは、セキュリティ対策の基本に立ち戻る必要があるというわけだ。

 その上、オープンソースだから安全だ、という意見に対する反証も存在する。オープンソースのパッケージにバックドアが仕込まれていたケース(CA-2001-01)もあれば、コンパイル時にバックドアを仕込むというアイデアも公開されている。実際の運用を考えれば、レイヤを広げ、アプリケーションやネットワークにも気を配らなければならない。こう考えてくると、現実的には、オープンであろうとクローズドであろうと、使うからにはそのベンダーを信用するしかないし、それができないならば自分で作り上げるしかない、ということになる。

 ここでポイントとなるのが、使い手からのフィードバックとそれらへの対応、情報告知などを包括した「オープンな体制」だ。「“オープンソースだから安全だ”というわけではない。オープンな体制だからこそ、十分に信頼できるものができる」(小島氏)。そしてその判断は、自分で下すしかないと同氏はいう。

 そして、その判断を下す際に大きなポイントとなるのは、ソースコードだ。「結局はソースがあるか、ないかに尽きる」――同氏はセッションをこう締めくくっている。

関連記事
▼Linuxのソースコードは質が高い、リーズニングが調査結果を発表
▼Linux Column:活発化する自治体におけるオープンソース導入活動

関連リンク
▼翔泳社(デベロッパーズサミット 2003)

[高橋睦美,ITmedia]