Gartner Column:第21回 マイクロソフトのセキュリティ対応についてさらに語ろう

【国内記事】 2001.11.06

 前回のマイクロソフトのセキュリティの記事はかなりの反響を呼んだようで,読者の方から幾つかご意見をいただいた。今回は,それらに回答しつつ,前回言い足りなかった点にも触れてみたい。

 中村正三郎氏のページでは,「ぼくが,栗原さんの論理に異論があるとすれば,“本当の良質なソフトは,少人数で作らなければならない”というのは,間違っているという論理展開ですね。」というご指摘を受けた。

 私の主旨は,「マイクロソフトはテスト依存型のプロセスを使用し,さらに,設計とコードの相互レビューに力を入れていないのでセキュリティが向上できない」ということで,「少人数開発即ち悪」と書いたつもりはない。しかし確かに,前回の記事を読み直してみるとこの辺の論旨が不明確であったようだ。お詫びと共に訂正したい。

 では,メールで寄せられた典型的ご意見に対して私の見解を述べていこう。

セキュリティホールのリスクを公開するのは意義があるとしても,セキュリティホールを攻撃するコードそのものを公開することは許されるのか? 大量殺戮兵器の製造法をWeb上で公開するようなものではないか?

 これは,前回で触れたマイクロソフトの文書の主旨でもある。私は,Web上の情報公開は原則自由であるべきである一方で,何らかの線引きは必要であるとも考える。大量殺戮兵器の製造法はテロリストに利益を与えるだけで,一般市民に対してほとんど利益を与えないので,明らかに,公開すべきではないだろう(もちろん,ある種の大量殺戮兵器が個人でも容易に製造可能であるというリスクそのものの情報は公開すべきだろう)。

 しかし,大量殺戮兵器とソフトウェアのセキュリティホール攻撃コードを同列に扱うことには無理があると思う。あらゆるソフトウェアの問題は原理的には修正可能であるためだ。攻撃コードの公開により,敵の攻撃パターンが分かれば,それに対応する修正を行えばよいだけの話である。これに対して,神経ガスの製造法を知っても,人間を神経ガスに耐えられるように改造できるわけではない。

 マイクロソフトの論文では,「攻撃コードを公開するから,大ごとになってしまうのだ」というロジックで,あたかも,攻撃コードを公開する側にも責任の一端があるかのような書き方をしている。

 しかし,敢えて言うならば,大ごとになってしまって良かったと考えるべきだろう。これにより,ユーザーも真剣に対応を行い,マイクロソフトも(十分かどうかは別として)セキュリティを重要課題とみなすようになったからである。

 大ごとにならなければセキュリティホールは消えてなくなるかというと,そんなことはない。多くの人が気付かぬままで存在し続けることになる。本当にクレバーかつ邪悪なハッカーであれば,誰にも気付かれぬように情報を盗用し続けることができるかもしれない(そもそも,このような事態は既に発生しているのかもしれない)。

「混雑した映画館で“火事だ!”と叫ぶようなことをしてはならない」とマイクロソフトの論文は述べている。しかし,実際に火事が起きているのに誰も「火事だ!」と叫ばなければ,多くの人がぎりぎりまで火事に気付かぬままに焼け死んでしまうだろう。

ユーザーとして何をなすべきか?

 前回にも述べたが,セキュリティホールが存在しないソフトウェアはない。IISをApacheやiPlanetに変更したからと言って,それだけでセキュリティレベルが向上できるわけではない。ユーザーが行わなければならないことは,プラットフォームによらない。

 すなわち,情報の収集,必要な修正の適用,厳格な管理プロセスの適用などである。要は,どのプラットフォームを使えば,これらの作業が相対的に容易になり,TCO(総合保有コスト)を削減できるかである。

 とはいえ,現実的に見れば,Webを静的コンテンツの配信にのみ使用している場合は別として,IISをApacheに移行するのは,そう簡単な作業ではないだろう。しかし,マイクロソフト製品の代替案が存在するという事実は重要だ。実際にこれらの代替案に移行するかどうかは別として,「いつでも代替案に移行できるんですよ」という姿勢をマイクロソフトに対して示せるからである。

 第19回でも述べたように,有効な競合が存在することをベンダーに知らしめることは,ユーザーの発言力を強める大きな武器となる。多くのユーザーが,こうしてマイクロソフトに対する圧力を強めていけば,長期的には同社の姿勢も変化していくことになるだろう。

今後,マイクロソフトの体質は変わっていくのか?

 機能優先,品質は後回しというのは,どのソフトウェアベンダーにも共通に見られる現象だが,マイクロソフトの場合,この傾向は,前回にも述べたように,同社の企業カルチャーから生じているように思われる。

 私が,インダストリーアナリストとして業界ウォッチを続けてきて感じている点のひとつは,企業のカルチャーとはそう簡単には変わらないと言うことだ。しかし,その一方で,上記に述べたようなユーザーからの実効性がある圧力,そして,マイクロソフトのビジネスモデル自体のシフトが,同社のカルチャーそのものを大きく変化させる可能性もある。

 さらに,司法省との和解もこの変化を加速させるかもしれない。というところで,スペースも尽きてしまったので,この点については次回で述べることとしたい(正直な話,マイクロソフトについて語り出すといくら字数がいくらあっても足りない気がしてきた)。

[栗原潔ガートナージャパン]