オープンソースの方がセキュリティに問題が多い？

セキュリティバグ続出で叩かれている Microsoft だが、叩かれるべきは同社だけではなさそうだ。オープンソース ソフトウェアもセキュリティに問題が多いことが分かった。

これは、セキュリティコンサルタント会社 Aberdeen Group が、今年10月1カ月間、コンピュータ緊急対応センター (CERT/CC) から発行されたセキュリティ勧告を分析して明らかになったもの。

それによると、セキュリティ勧告の半数近く ── 29件中16件 ── が Linux 製品を含むオープンソースソフトウェア関連のものだったという。UNIX システムも、CERCERT/CC が勧告を出したセキュリティ脆弱性のうち16件に関係しているが、Microsoft 製品に関するものは7件だけだった。

「明らかに、セキュリティ欠陥の多い代表は、2002年中に Microsoft からオープンソース製品メーカーおよび Linux 製品メーカーに移った。また、一般に思われているのと違い、UNIX ベースおよび Linux ベースのシステムも、ウィルスやトロイの木馬やワームに対して、Microsoft のシステムと同じくらい脆弱だ」、と Aberdeen の調査報告書はいう。この報告書を執筆したのは、同社のアナリスト Jim Hurley 氏と Eric Hemmendinger 氏だ。

CERT/CC は、セキュリティ専門センターとして広く認められており、多くの組織が同センターの発行するセキュリティ報告や勧告に頼っている。CERT/CC は、ウィルス／ワーム／その他のセキュリティ脅威に見舞われた組織から報告を受けると、「インシデント報告」を発行。そして、セキュリティ侵害を受けやすくしかねない、さまざまなシステム内の脆弱性に関して勧告を発行し、ユーザーに警告する。同センターは、カーネギーメロン大学内に置かれている。

Aberdeen の報告書は、Microsoft がセキュリティ脆弱性につながるソフトウェア開発過程での問題点に取り組むために今年1月に開始した『信頼できるコンピューティング』構想が「功を奏しているようだ」と指摘。そして、オープンソースや Linux のソフトウェア開発者が「同様の対策を取る」よう強く勧めている。

同報告書は不吉な予測も掲載。「ルーター、Web サーバーソフトウェア、ファイヤーウォール、データベース、インターネットチャット用ソフトウェア、セキュリティソフトウェアにオープンソースソフトウェアを組み込むことによって、インターネット関連のコンピュータ装置やアプリケーションの多くを、ウィルス感染の媒体に変えてしまう恐れがある」と指摘している。

こうした問題解決には何年もの時間がかかると認め、Aberdeen のアナリストたちはユーザーに対し、脆弱性の発見／修復プロセスを自動化するツールやサービスに投資するよう促している。

Twitter	iPhoneアプリ / iPadアプリ		Androidアプリ
Facebook	RSS	ニュースメール