| エンタープライズ:ニュース | 2003/10/31 01:34:00 更新 |
Security Solutionを振り返る:本当に大事なのはOS以外の部分に
「Network Security Forum 2003」に登場した龍谷大学理工学部の小島肇氏は、WindowsとLinuxを対比させながら、セキュリティ対策のポイントについて語った。
「本当に大事なのはOSではない。OSとはあくまで、状況や必要性に応じて選択して使うものでありたい」――先週行われたSecurity Solution 2003の併催イベント、「Network Security Forum 2003」において、セキュリティ情報を集約したWebサイト「セキュリティホール memo」を運営している龍谷大学理工学部の小島肇氏はこのように述べている。
今更ながらだが今年の夏は、Windows OSの重大なセキュリティホールを悪用したワーム「MSBlast(Blaster)」がまん延した。それを背景にしてか、マイクロソフトによる独占体制がセキュリティ上の脅威となっており、「選択肢を持つこと」が重要だと主張するCCIAのレポートが公開され、業界の波紋を呼んでいる(9月25日の記事参照)。こうしたレポートを待つまでもなく、中には真剣に他のプラットフォーム、特にLinuxをはじめとするオープンソースへの移行を検討しているユーザーもいるだろう。
だが、例えばLinuxを選択したからといって、即効薬になる部分もあれば、逆の効果がもたらされてしまう部分もある。Windowsはセキュリティホールにつながるソフトウェアおよびパッチの品質では劣るとしても、関連情報の提供体制などのようにWindowsに軍配が上がる点もあるというのが小島氏の説明だ。
「オープンソースの中には非常に頑張っているものもあれば、ダメダメなものもある」(小島氏)。つまり、「○○だから大丈夫」と盲信するのではなく、不十分な点を見極め、そこを自らの努力で補って適切にメンテナンスしていくことが重要だ――小島氏の説明からはそういった考え方を読み取ることができた。
どちらにもある「効果」と「問題点」
小島氏の講演は「WindowsとLinuxのセキュリティ」というタイトルが示すとおり、セキュリティ上の観点からこの2つのプラットフォームの現状をチェックするものとなった。
Windowsに対する同氏の指摘は、主に修正プログラム(パッチ)の品質とその提供体制に向けられた。多くのユーザーが実感しているとおり、「修正プログラムを適用するのに再起動が必要、という点には心理的な抵抗がある」(同氏)。その上、パッチの適用によって生じる副作用もなくなっていない。結局、「しばらく様子を見ないと怖くて適用できない」(同氏)ことになる。修正プログラムを適用せずとも、他のセキュリティ製品や設定の変更によって回避することも可能だが、いつかは適用しておくほうがいい。
そのうえ、これら修正プログラムが不定期なスケジュールで、年に数十回というペースで提供される点も問題だ。だがこれらは、マイクロソフトが先日明らかにした新たなセキュリティ戦略(別記事参照)で改善されると期待できる。ただ、一部の言語でMS03-045に副作用が生じるなど、パッチの品質にはまだ改善の余地があるのも事実という。
さらに、いわゆる0-day状態の攻撃が登場するといったケースを想定すると、Internet ExplorerでJavaScriptやActiveXを無効化するといった緊急回避策が必要になる。「しかし現実問題として、それを一般ユーザーにまで徹底できるかというと、できない人もいるだろう」(小島氏)。これを踏まえると、代替用ブラウザを用意するなど、何らかの策も必要かもしれないという。
一方Linux(ここではRed Hat Linuxが取り上げられた)について見てみると、修正プログラムの適用によって必要となるOS再起動回数は明らかに少ない。モジュールの更新だけならば、再起動なしで済ませられることも多い。また修正パッケージの適用から生じる副作用だが、たまに依存関係に起因してトラブルが生じることもあるが、おおむね問題はないという。
しかしRed Hat Linuxの場合、そのセキュリティホールがどのくらいの影響を及ぼすのかを示す深刻度の評価が記されておらず、日本語化すら十分になされていないこともままあるという。もともと「自ら助くるものを助く」という精神が背景にあることもあって、ソースを参照するなど自力で頑張る道は用意されているのだが、一般のユーザーにとってはやや敷居が高いかもしれないと小島氏は述べた。
こうした現状を踏まえると、WindowsからLinuxに移行することによって、数多くのウイルス/ワームなど、世の中で流行している攻撃をかなりの程度避けることができるという、馬鹿にはできない効果が生じる。だが逆に、Linuxを対象とした攻撃について考慮していく必要があるし、修正パッケージそのものの適用作業回数は増加するだろうと小島氏はいう。さらに、日本語によるセキュリティ情報の提供については、かえって期待できなくなるという。
一連の説明を踏まえて小島氏は、「多様性は良いことだ。確かにそれはそうだが、一方でメンテナンスコストが急激に増大してしまう。この2つのバランスをどこかで取ることが必要だ」と述べた。
同氏はさらに、もし適切にメンテナンスを行えないならば、いっそのこと単一プラットフォームに統一し、それをきちんとメンテナンスしていくほうがいいかもしれないと指摘。また、「やられてもいいところ」と「最低限死守すべきところ」を決め、それぞれのゾーンに応じてセキュリティ対策を取っていくという手法も有効という。そして、一見忘れられがちな独自アプリケーションや独自システムも非常に大事であり、これらについては自ら努力して対応していくしかないとも指摘している。
関連リンク
Security Solution 2003Network Security Forum 2003[高橋睦美,ITmedia]
