FOSSセキュリティ弱点トップリスト：Trend Insight（2/2 ページ）

[Bruce-Byfield，Open Tech Press]

セキュリティ弱点の原因

　ただしブイ氏は、本来的にこれらのセキュリティ弱点に対する責任はフリーソフトウェア／オープンソフトウェアプロジェクトにあるのではないという点を指摘した。「オープンソースプロジェクトは、自らの監査を非常に得意としている。パッチが必要なことが認識された後、そのパッチが文字通り数時間以内にアップロードされることもある。リストに挙げたようなセキュリティ弱点に問題があるとすれば、その責任は、オープンソースソフトウェアのユーザーにある。ユーザーは、自らの企業の方針とプロジェクトのライセンスに従いながら、責任をもってオープンソースソフトウェアを使用するようにしなければならない。正直に言って、オープンソースプロジェクトの側に改めるべき点などはないと思う」。

　Palamidaで上級コミュニケーションマネジャーを務めるメリッサ・ブリーズデール氏は次のように述べた。「Palamidaはこのリストに掲載されているプロジェクトがセキュリティ弱点で穴だらけだということを言いたいわけではない。このリストの主眼はそういうことではない。これらのプロジェクトは進展を続けていて、はるかに強化されたバージョンをリリースしている。しかし例えば7バージョンも前のものを使用している場合には、組織内で必要もなくセキュリティ弱点を抱え込んでいるということになる」。

　問題は、フリーソフトウェアのコードがインターネット経由で簡単に入手可能であるために、開発者が「自分のデスクトップにダウンロードして、それをベースとしてコーディングを開始し、それを企業のソースコード管理システムにチェックイン――しかもすべて財務／セキュリティ／法律的な監査なしに――してしまう」ことが可能であるということだ。加えて、コードの存在が知られていない場合には、企業のセキュリティチームはそのソフトウェアのアップデートの必要性について監視すべきであるということにも気づかない。

　たいていの開発プロジェクトでは製作スケジュールが非常に密ということが原因で、この問題はさらに悪化している。「エンジニアリングチームは製品をリリースするようせき立てられている。そのため、何千ものショッピングカート用ウィジェットがWebからダウンロード可能になっているというのに、1からショッピングカードを構築しようとは普通は考えないだろう」。

　LaBancz-Bleasdale氏は、特に手動で監査する場合のもう1つの問題として、大企業において監査するべきコードの量の多さを挙げた。

　しかしおそらく最大の問題点は、多くの企業が――顧客にアップグレードを勧めることでビジネスが成り立っていることの多いプロプライエタリのソフトウェアの利用が慣例となっている場合には特に――最新のセキュリティ弱点報告を常に追いかける必要性を単に認識していないということだ。

　ブイ氏は次のように述べた。「大企業はハードウェア資産についてはタグをつけて管理することに非常に多くの時間を費やすが、ソフトウェア資産を管理することについては同じくらいの――場合によってまったく――時間をかけることはしない。それに加えて、企業に巨大なコンピュータをこっそりと持ち込んでネットワークにつなげるということはなかなかできないが、サードパーティーのアプリケーションをダウンロードしてファイアウォールの内側に置いてソースコード管理システムにチェックインする、ということはずっと簡単に行うことができてしまう」。

　以上のようなことが原因で、フリー／オープンソースソフトウェアのセキュリティ警告は広く無視され続けてしまっている。ブイ氏は「セキュリティチームの能力は、エンジニアリングチームが何を所有しているのかをどの程度把握することができるか次第だとも言えるだろう。手始めに今回発表した上位に含まれているセキュリティ弱点を確認してみるだけでも、企業にとっては大きく認識を高めることになるだろう」とした。

Bruce Byfieldは、Linux.comとIT Manager's Journalに定期的に寄稿するコンピュータジャーナリスト。

原文へのリンク