Red Hatのマーク・コックス氏、セキュリティについて語る：Focus on People（1/2 ページ）

Red Hatのセキュリティ対応チームのディレクターであるマーク・コックスが、普段あまり表に出ることのないLinuxのセキュリティ動向や、誰が脆弱性を発見するのか、重要度はどのように判定されるのか、セキュリティの問題を最小限に抑えるために何が行われているのかを赤裸々に語った。

[Joe-'Zonker'-Brockmeier，Open Tech Press]

　ITプロフェッショナルは、セキュリティに関する事項やできるだけ速やかにシステムにパッチを当てる方法を検討するのに多大な時間を費やしている。しかし、脆弱性に関する情報が彼らの下に届く過程は、ほとんど謎に包まれたままだ。そのあたりの事情を明らかにするため、われわれはRed Hatのセキュリティ対応チームのディレクターであるマーク・コックス氏に会い、Linuxのセキュリティ動向のほか、誰が脆弱性を発見するのか、重要度はどのように判定されるのか、セキュリティの問題を最小限に抑えるために何が行われているのかについて話を伺った。

　コックス氏がセキュリティに関心を持ち始めたのは約12年前、米国立スーパーコンピュータ応用研究所（NCSA：National Center for Supercomputing Applications）のNCSA HTTPdというWebサーバでセキュリティ上の問題を発見したときからだという。「その後すぐにわたしは欧州でC2Netの活動を立ち上げ、十分なビット長のSSL暗号化を世界中に広めることができるように、特に米国外向けのStronghold Webサーバの開発を進めた。やがてC2NetはRed Hatに買収され、この場にわたしがいるというわけだ」。コックス氏はRed Hatでのセキュリティ業務に加え、仕事以外の時間をApache Software FoundationのセキュリティチームとOpenSSLグループでの活動に充ててもいる。

　セキュリティ対応チームのメンバーには、どんな仕事が課せられるのだろうか。コックス氏によると、こうしたチームは脆弱性の確実な解決に責任を負っているという。「そこには、研究者との連携やわれわれに悪影響を及ぼす問題の監視と検知、優先順位付けや調査、リリース過程の監視といった数々の仕事が含まれる」

　また、セキュリティ対応チームのメンバーには、勧告を作成したり、脆弱性に関する顧客からの質問に答えたりする役目もある、とコックス氏は話す。「昨年、われわれは問い合わせ対応の98％を1営業日以内に成し遂げた」

　Red Hatのような大手ベンダーでは厳密にどれほどの人数がセキュリティの問題に携わっているのか、知りたい人もいるだろう。セキュリティに取り組みむために何名が直接雇われているかについてコックス氏が言及することはなかったものの、多くの場合は脆弱性の種類ごとに技術者を集めている、と彼は語った。

　「Red Hatには世界各地の時間帯をカバーするために常勤の技術者が数多くいるが、より優れた人材を常に探し求めている。問題に対処するときには、開発や品質工学のチームからも特定の領域の専門知識を採り入れることになる。そのため、セキュリティの脆弱性にかかわるRed Hat社員の数は毎週変わる」（コックス氏）

　多くの場合、セキュリティチームは脆弱性に関する情報を一般の人々よりも早く入手する。実際のところ、Red Hatのセキュリティチームの場合は「その確率は五分五分くらいだ」とコックス氏は言う。つまり、Red Hatには広く一般に知れ渡る前に脆弱性を解決できる時間的余裕がたいていあるわけだ。「前もって問題が分かっている場合は、同業他社との連携による適切なパッチの入手、類似したコードベースに同様の問題がないかの調査、念入りなテスト、影響を被るほかのディストリビューターとのリリース調整といったことが可能になる」

　しかし、たとえまだ公に知られていない脆弱性の問題であってもできるだけ早期の解決を試みている、とコックス氏は言う。「実際、ここ2年間についてみると、われわれが事前に把握した脆弱性の情報が世間に広まるまでの日数の中央値はわずか7日だった。危険性の高い一部の問題に限れば、その中央値は2日に縮まる」

脆弱性はどこから判明するのか

　セキュリティの脆弱性の多くはどのようにして発見されるのだろうか。コックス氏は自身のブログで、2005年3月から2007年3月までの期間にRed Hatが得た脆弱性の情報の発信元を分析している。そこには、そうした脆弱性の情報が、公になる前にRed Hatに届いたかどうかも記されている。

　コックス氏の分析によると、情報の発信元として一番多いのがほかのFLOSSベンダーであり、次に多いのがFirefoxのような上流にいるベンダーからの報告だという。また、Red Hatでは世間に知れ渡る前にそうした情報をほかのFLOSSベンダーや上流プロジェクトから得ていることが多い。

　ところで、そうした情報の発信者は、そもそもどのようにして脆弱性の問題を見つけ出すのだろうか。コックス氏によれば、その方法は幾つもあり、積極的な監視によって見つかることもあれば、ほかの問題に関するバグリポートから分かることもあるという。「上流に位置するプロジェクトやディストリビュータがときどき監査やコード解析ツールの実行を行っているほか、セキュリティに関する新手法によって問題が事前に分かったり、顧客のバグリポートからセキュリティにかかわる因果関係が明らかになったりする場合もある」