「コードはセキュアになった。でも……」

米eEye Digital Securityのシニアソフトウェアエンジニア、鵜飼裕司氏は、脆弱性の修正に多少時間がかかるのは仕方がないという風潮に疑問を呈す。

[高橋睦美，ITmedia]

　「Windowsのコード自体は確かに安全になった。しかしだからといって、総合的に見てWindowsが低リスクだとは言い切れない」――米国のセキュリティ企業、eEye Digital Securityのシニアソフトウェアエンジニア、鵜飼裕司氏はこのように述べた。

　鵜飼氏によると、最近のWindows OSの脆弱性は細かく分析しないと発見できないようなものばかりで、簡単に見つかるような脆弱性は減少した。その意味では確かに、Windowsは非常に強くなっているという。だがだからといって、そのシステムが安全であるとは限らない（もちろん、Windowsに限った話ではない）。

　同氏が懸念するのは、ベンダー側の対応速度だ。eEye Digital SecurityではWindowsをはじめさまざまなソフトウェアの脆弱性を調査し、当該ベンダーに通知して対応を求めるという作業を行ってきた。その間、対応待ちの脆弱性は「Upcoming Advisory」（未発表アドバイザリ）として示され、ベンダーによる対応が完了した後に詳細なアドバイザリが公開されるという流れだ。

　セキュリティ問題がさほど重視されなかった数年前に比べると「脆弱性を報告しても黙殺されるようなケースはなくなった」（鵜飼氏）という具合に、ベンダー側の姿勢は大きく改善されてきているという。

　しかし「それでもまだ対応は遅い。たとえばMicrosoftの場合、ワームに転化する恐れのある重要な脆弱性を半年も放置しておくのは、時間がかかりすぎではないか」（鵜飼氏）。そうしている間に、ゼロデイ攻撃が生じる可能性も否定できないという。

　同氏は「ソフトウェアを開発する立場として、（パッチのリリースまでに）十分なテストや検査が必要なのは分かる」としながらも、それならば、検証体制の強化を図るなど、いくらでも手立てはあるのではないかと指摘した。

　脆弱性の傾向を俯瞰すると、OSそのものはセキュアになってきた一方で、アプリケーションのセキュリティ品質にばらつきが見られる。つまり、セキュアなアプリケーションとそうでないものとの間に「差が出てきている」（鵜飼氏）。日本国産のフリーウェアやシェアウェアの中には脆弱なものがまだまだ存在するという。

　「eEyeでは日本の状況にあった取り組み、日本独自のアプリケーションに対する調査と対応などを進めていきたい」と鵜飼氏。同社のセキュリティ脆弱性スキャナ「Retina」で国産ソフトに対するシグネチャをサポートするほか、販売代理店の住商情報システムを通じて、発表済み／未発表アドバイザリの日本語訳提供を開始した。

脆弱性の歴史は繰り返す？

　eEyeでは今後、組み込み機器のセキュリティ脆弱性に関する調査研究を強化していくという。

　鵜飼氏によると、組み込み機器のソフトウェアを調査すると、ちょうど5〜6年前にPC用OSに見られたような典型的な脆弱性がいまだに残っているという。「WindowsやUNIXの歴史を繰り返そうとしている」（同氏）。

　組み込みソフトウェアに数多くの脆弱性が存在している根本的な原因は、「セキュリティを考慮した開発や設計ができていないこと」と鵜飼氏。「組み込み機器の開発者がまず考えるのは、ユーザーにとっていかに簡単に使えるかということ。そのためセキュリティデザインがおろそかになる恐れがある」（同氏）。

　その一例がパスワードの設定だ。PCの世界では半ば常識となっているパスワードだが、デジタル家電をはじめとする組み込み機器の分野では、ユーザーの面倒さを省こうとする考えから避けたがる傾向があるという。

　家電の分野では、アップデートという仕組みになじんでもらえるかという問題もある。残念ながら、現在のWindows OSでさえ100％アップデートができているとはいいがたい状況だ。「デジタル家電となるとPCを持っていない一般の人も利用する可能性がある。そういった状況で、果たしてアップデートがきちんとなされるかどうか」（鵜飼氏）。

　その一方で、デジタル家電のネットワーク対応は進むばかりだ。鵜飼氏はこういった状況を踏まえ、「便利になるのはいいけれど、それがユーザーにどういう危険をもたらすのかを踏まえたうえで便利さを追求すべき。少なくとも今のうちから、組み込み機器のセキュリティに対する研究を進めておくべきではないか」と警鐘を鳴らしている。