オープンソース系データベースプロジェクト間の橋渡しを担ったコンソーシアム:Trend Insight
PostgreSQLとMySQLが先週立て続けにSQLインジェクションの脆弱性に対する修正をリリースしたのは、偶然ではない。この背景には、Open Source Database Consortiumのメンバー間でセキュリティ問題に関する最初のコラボレーションが形成されていたのだから。
PostgreSQLとMySQLが先週立て続けにSQLインジェクションの脆弱性に対する修正をリリースしたのは、偶然ではない。この背景には、SQLインジェクションの脆弱性が確認されたことを契機にOpen Source Database Consortium(OSDBC)のメンバー間におけるセキュリティ問題に関する最初のコラボレーションが形成されたという経緯があるのだが、これが最初で最後のケースということにはおそらくならないだろう。
OSDBCが設立されたのは、昨年ドイツにて開催された第1回Open Source Database Conference(OpenDBCon)でのことであった。OpenDBConのメインオーガナイザーであり、MySQLのアリエン・レンズ氏とともにOSDBCを立ち上げたザック・グレアント氏によると、同コンソーシアム設立の背景には、さまざまなオープンソース系データベースプロジェクトの間で情報を共有することで「フリーソフトウェアやオープンソース系のデータベースソリューションの全体的」な向上を後押しする、という意図があったという。
過去の経緯を眺め直してみると、PostgreSQLとMySQLは互いにライバル関係にあったが、PostgreSQL Core Teamのジョシュ・バーカス氏によると、今回双方のプロジェクトは共通の問題に対処するに当たって、そうした関係を一時棚上げにしているとのことだ。「プロジェクト間にライバル意識があっても、セキュリティ関連の重要な情報を共有する上で特に大きな障害になるわけではありません。実際のところ、データを共有できるようになれば、オープンソースの発展にも大きく寄与するでしょう」。
MySQLでコミュニティー担当副社長を務めるカイ・アルノ氏によると、同グループはそのほかの問題についても情報交換をしているが、エンドユーザーの利害に直接影響してくるのは、やはりセキュリティ関連の対策ということになる。
バグの特定の経緯
今回の脆弱性は、石田朗雄氏、石井達夫氏、大垣靖男氏により3月に発見されたものである。大垣氏および石田氏はJapanese PostgreSQL User Groupのメンバーであり、石井氏はSRA OSS Japanの従業員である。当時これらの研究員は、IPAセキュリティセンターにてPostgreSQLおよびそのほかのオープンソースソフトウェアに関する研究を行っていた。そして石井氏から脆弱性に関するリポートを受けたPostgreSQLチームはその後、これが実際に発生しうる問題であることを確認したのである。
このように今回の脆弱性の存在が確認されたのはPostgreSQLが最初であったが、その後この情報がOSDBCのメンバー間でも公開されたことにより、そのほかのオープンソース系データベースソフトウェアに対する影響が検討され始めた。Berkus氏によると、Derby、SQLite、 BerkeleyDB系のデータベースに対する検討の結果では、こうした脆弱性は存在しなかったという。一方で同様の脆弱性が確認されたのがMySQLであり、MySQL開発者の1人であるセルゲイ・ゴルバチョフ氏はそのための対策を構築し始め、その成果はMySQLに対する修正として水曜日に公開されている。
アルノ氏の指摘によると、このような共通の脆弱性が生じた原因は、コードが共有化されていたためではなく、マルチバイトキャラクタのエンコード処理における「関連コードの複雑さ」に起因するという。いずれにせよ複数のオープンソース系データベースプロジェクトが協力して共通の問題に対処できる分野を考える場合、今回の出来事は典型的な事例と見なせるだろう。またこれはアルノ氏およびBerkus氏の共通する見解であるが、今回の脆弱性はその性質上、プロプライエタリ系データベースでも発現しうる可能性がある。
将来的なコラボレーションの展望
現状のオープンソース系データベースプロジェクト間でのコラボレーションはごく限られたものでしかなく、アルノ氏の言葉を借りれば「場当たり的」に成立する協力関係でしかないが、こうしたコラボレーション関係の成立が緒に就いたばかりである点は割り引いて考えなければいけないだろう。「現状は、こうした相互協力体制の成立しうる機会をうかがっているところです。次はこちら側から、お返しができればいいのですが」。
実際コラボレーションが行われているのは、セキュリティの分野に限られている訳ではない。アルノ氏が指摘しているのは、MySQLから公開されたSakilaというサンプルデータベースで、これはBSDライセンス下でリリースされているため、PostgreSQLのライセンスとの共存が可能となっている。MySQL ABがオープンソースとしてMySQLをリリースする際に採用しているのがGNU General Public License(GPL)であるのに対して、一方のPostgreSQLチームが用いているのはBSDライセンスなのである。
複数のオープンソース系プロジェクトが意見交換とコラボレーションを行える体制を整えるべく、共通したフォーラムを設けることが、すでにfreedesktop.orgの参加者の間で計画されている。OSDBCが半分でも成功したと見なせるのであれば、すべてのオープンソース系データベースのユーザーにとって、それは朗報だと言えるのではないだろうか。
関連記事
商用DBをリプレースするか:オープンソースデータベースのMySQLとPostgreSQLの普及が拡大
オープンソースデータベースのMySQLとPostgreSQLが勢いづいているが、Oracle Database、IBM DB2、Microsoft SQL Serverなどの商用データベースをリプレースするケースはまだ少ないようだ。
Copyright © 2010 OSDN Corporation, All Rights Reserved.
注目のテーマ
人気記事ランキング
- 爆売れだった「ノートPC」が早くも旧世代の現実
- VPNやSSHを狙ったブルートフォース攻撃が増加中 対象となる製品は?
- 生成AIは検索エンジンではない 当たり前のようで、意識すると変わること
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
- ランサムウェアに通用しない“名ばかりバックアップ”になっていませんか?
- PHPやRust、Node.jsなどで引数処理の脆弱性を確認 急ぎ対応を
- 「Gemini」でBigQuery、Lookerはどう変わる? 新機能の詳細と利用方法
- GoogleやMetaは“やる気なし”? サポート詐欺から自力で身を守る方法
- 攻撃者が日本で最も悪用しているアプリは何か? 最新調査から見えた傾向
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
ITmediaはアイティメディア株式会社の登録商標です。