モノカルチャーVS多様化、セキュリティ専門家が議論

MS批判の報告書を書いたダン・ギア氏は、MS製品を狙う攻撃の多さから、代替OSやブラウザの利用を増やすべきと主張する。それに対しMSの専門家は、製品の一本化はコスト削減につながると反論。（IDG）

[IDG Japan]

　MicrosoftのWindowsやInternet Explorer（IE）を狙うワームやウイルスの数を見る限り、Microsoftに代わる製品を利用するユーザーが増えれば、皆がもっと安全になるのではないか――。多くのコンピュータ業界関係者がそんな疑問を抱えている。

　著名なセキュリティ専門家2人による討論会に出席したシステム管理者やエンジニアら数百人のうち、約3分の2は同じ考えのようだ。この討論会は6月30日、米ボストンで開催のUSENIX 2004カンファレンスの中で行われた。討論の前後に行われた挙手による調査から、出席者の大半はOSやWebブラウザがもっと多様化することを望んでいることがうかがえた。

　Verdasysでチーフサイエンティストを務めるダン・ギア氏は、従来からモノカルチャーは生物学用語でも、コンピュータ用語でも、集団の成員にとって本質的に危険なものだと語りかけた。ギア氏は以前、セキュリティ企業@stakeで最高技術責任者（CTO）を務めていたが、コンピュータ業界におけるMicrosoftの独占状態と、それ故に生じる同社製品の弱さに対して、批判的な内容の報告書を書いて解雇された（2003年10月2日の記事参照）。Microsoftは@stakeの顧客だ。

　Microsoftで「Trustworthy Computing」戦略の責任者を務めるスコット・チャーニー氏は、OSの多様化はネットワークの保護にかかわることかもしれないが、IT予算が減額され、投資回収率が重視される中で、OSの多様化を企業に強いるのは厳しいと主張した。

　ギア氏はコンピュータ世界の進化を地球の進化に例え、業界は「藍藻類」あたりの段階にあると指摘した。原始生物は脅威に備えるため、進化し多様化せざるを得ない。プロのハッカーによる深刻な脅威に立ち向かうのなら、コンピュータ業界も多様化しなくてはならないとギア氏は訴えた。

　「自然を見れば、モノカルチャーが原始的な状態、あるいは瀕死の状態なのだと分かる」（ギア氏）

　モノカルチャーだからといって、必ずしも攻撃を受けるわけではないとチャーニー氏は反論、フライトにBoeing 737だけを使うSouthwest Airlineを引き合いに出した。これによりSouthwestは、パイロットやメンテナンス要員なら誰でも任意の航空機に割り当てることができ、トレーニングコスト削減につながっているという。

　フライトを737に依存することは、幾分ギャンブルだ。米連邦航空局から何らかの指示が出れば、事実上Southwest Airlinesの全機が離陸禁止になるかもしれないとチャーニー氏。しかしSouthwestは、737に一本化することで見込めるコスト削減を考慮し、受け入れられるトレードオフだと考えた。

　Microsoft製品に一本化する企業も同様に、Microsoft製品が脆弱な場合、重要なデータを失うリスクを負うことになると同氏。しかし、こうした企業はシングルベンダーの製品を採用することで、IT担当者がパッチや重要なアップデートを当てる作業を容易にして、担当者に他社製OSの動かし方を教えるのに必要なトレーニング・教育のコストを節約しているとチャーニー氏は主張している。

　この主張で問題なのは、新たな脅威に対してシステムにパッチを当てない個人や企業が常に存在し、そうした感染システムが悪用されて、インターネット中に大惨事が起きる可能性があるという点だとギア氏は指摘する。そうした事態が起きた場合、多様なOSやブラウザを選んだ企業は、脆弱な製品から仕掛けられた攻撃を防御できるだろう、とも。

　「皆さんが何を選ぼうが私は気にしない。ただ、そうした状況になってほしくないだけだ」とギア氏。

　結局のところ、ソフトベンダーは立ち上がって自社製品に対する説明責任を果たさなくてはならないとチャーニー氏。これまで顧客はセキュリティを気にせず、ベンダーの製品にセキュアであることを求めなかったが、この状況はここ数年で劇的に変わってきているという。

　ギア氏は、Microsoft製品に含まれる脆弱性は「国家セキュリティの問題」だとし、この問題はインターネットの健全性にとってあまりにも重要すぎて、ソフトベンダーの手には委ねておけないと主張している。