「Windowsのほうが安全」の調査結果にレッドハット幹部が反発

Robert Lemos(CNET News.com) 2005年03月24日 22時12分

  • このエントリーをはてなブックマークに追加

 Linuxでウェブサイトを運用する企業のほうが、Windowsを使う企業よりもリスクが高い。これはMicrosoftが資金を提供した調査の結論だ。

 昨年ウェブサーバで見つかった欠陥の数は、Windows Server 2003ベースのシステムのほうが、標準的な構成のRed Hat Enterprise Linux ES 3ベースのものよりも少なかったと、この調査を実施した研究者らは米国時間22日に公表した論文のなかで述べている。

 さらに、Microsoftベースのウェブサーバのほうが、オープンソースのライバル製品よりも「危険日数」が少なかったことが、この調査で明らかになった。「危険日数」とは、脆弱性の存在が明らかになった日から、それを修正するパッチが適応された期間の日数を指す。

 この論文は3人のセキュリティ研究者がまとめたものだが、そのなかの1人で、セキュリティ対策ソフトウェアメーカー、Security Innovationsの調査/トレーニングディレクターであるHerbert Thompsonは、「この調査結果から言えるのは、どちらのプラットフォームのほうが安全かという点については一般論に流されるべきではない、ということだけだ」と述べている。一般的には、Linuxの方がWindowsより安全だとされている。

 先月開催されたRSA Conferenceで詳細の一部が明らかにされていたことから、この論文をめぐっては、すでに論争が巻き起こっていた。また、それ以前にもWindowsとLinuxの安全性を比較した調査が白熱した議論を巻き起こしたことがあった。

 Red Hatのセキュリティ対策チームリーダーであるMark Coxは22日、今回の調査結果について、「何らかの間違いがあったと確信している」と、同社ウェブサイト内のブログに書き込んでいる。同氏によると、この調査では「深刻」な脆弱性とその他の脆弱性が区別されていないが、この違いを考慮に入れて比較した場合はRed Hatのほうが有利な結果になるという。

 Red Hatは、特にこのレポートに対してコメントしておらず、Coxのブログに言及しただけだった。

脆弱性の数え方

 今回の調査にあたった研究者らは、2004年に両方のウェブサーバで見つかった欠陥を修正するパッチの数を計算した。さらに、彼らは脆弱性情報が公表されてから双方の開発者がその脆弱性を修正するパッチを公開するまでの日数も計算した。

 その結果、Red Hat Enterprise Linux ES 3を運用しているサーバでは、この危険日数が1万2000日以上になったが、一方Windows Server 2003の危険日数は約1600日だったという。

 欠陥に関しては、ウェブサーバソフトのApache、データベースのMySQL、スクリプティング言語のPHPを使用するRed Hatベースのウェブサーバの場合、デフォルト構成で174件の脆弱性が発見された。それに対し、Microsoft Server 2003、Internet Information Server 6、Microsoft SQL Server 2000、ASP.Netを組み合わせたウェブサーバでは、デフォルト構成で52件の脆弱性が見つかった。

 この調査では、ウェブページの配信に必要でないアプリケーションを対象からはずした最小構成でも両者を比較した。この場合にも、Microsoftのシステムで見つかった欠陥はわずか52件だったのに対し、Red Hatのほうは132件が見つかったという。

 この結果に対し、Red HatのCoxは次のような反論をブログに書き込んでいる。

 「Red Hat Enterprise Linux 3には、MicrosoftもしくはRed Hatのいずれかの深刻度で『緊急/深刻』に分類される欠陥は、わずか8件しかなかった。欠陥の4分の3は24時間以内に修正され、対応に要した日数も平均8日だった」(Cox)

 一般には、攻撃者がリモートからコンピュータシステムを支配できるようにしてしまうものが深刻な欠陥に分類される。実際、この調査でも脆弱性の深刻度を「高」「中」「低」に分類している。「高」に分類された欠陥には、Red HatとMicrosoftが深刻/緊急に分類しているものと、ローカルユーザーがシステムの機能にアクセスできるようにする欠陥とが含まれている。このレポートによると、深刻度が「高」の欠陥は、デフォルト構成でも最小構成でもMicrosoftの方が少なかったという。

  • このエントリーをはてなブックマークに追加
関連キーワード
セキュリティ

関連ホワイトペーパー

SpecialPR

連載

CIO
藤本恭史「もっと気楽にFinTech」
Fintechの正体
内山悟志「IT部門はどこに向かうのか」
情報通信技術の新しい使い方
米ZDNet編集長Larryの独り言
谷川耕一「エンプラITならこれは知っとけ」
田中克己「2020年のIT企業」
大木豊成「Apple法人ユースの取説」
デジタル未来からの手紙
モノのインターネットの衝撃
松岡功「一言もの申す」
三国大洋のスクラップブック
大河原克行のエンプラ徒然
今週の明言
アナリストの視点
コミュニケーション
情報系システム最適化
モバイル
通信のゆくえを追う
スマートデバイス戦略
セキュリティ
ネットワークセキュリティ
セキュリティの論点
スペシャル
de:code
Sapphire Now
VMworld
HPE Discover
Oracle OpenWorld
Dell World
AWS re:Invent
PTC LiveWorx
デプロイ王子のテクノロジ解説!
古賀政純「Dockerがもたらすビジネス変革」
誰もが開発者になる時代 ~業務システム開発の現場を行く~
さとうなおきの「週刊Azureなう」
より賢く活用するためのOSS最新動向
「Windows 10」法人導入の手引き
北川裕康「データアナリティクスの勘所」
Windows Server 2003サポート終了へ秒読み
米株式動向
Windows Server 2003サポート終了
実践ビッグデータ
中国ビジネス四方山話
日本株展望
ベトナムでビジネス
アジアのIT
10の事情
エンタープライズトレンド
クラウドと仮想化