Linuxでウェブサイトを運用する企業のほうが、Windowsを使う企業よりもリスクが高い。これはMicrosoftが資金を提供した調査の結論だ。
昨年ウェブサーバで見つかった欠陥の数は、Windows Server 2003ベースのシステムのほうが、標準的な構成のRed Hat Enterprise Linux ES 3ベースのものよりも少なかったと、この調査を実施した研究者らは米国時間22日に公表した論文のなかで述べている。
さらに、Microsoftベースのウェブサーバのほうが、オープンソースのライバル製品よりも「危険日数」が少なかったことが、この調査で明らかになった。「危険日数」とは、脆弱性の存在が明らかになった日から、それを修正するパッチが適応された期間の日数を指す。
この論文は3人のセキュリティ研究者がまとめたものだが、そのなかの1人で、セキュリティ対策ソフトウェアメーカー、Security Innovationsの調査/トレーニングディレクターであるHerbert Thompsonは、「この調査結果から言えるのは、どちらのプラットフォームのほうが安全かという点については一般論に流されるべきではない、ということだけだ」と述べている。一般的には、Linuxの方がWindowsより安全だとされている。
先月開催されたRSA Conferenceで詳細の一部が明らかにされていたことから、この論文をめぐっては、すでに論争が巻き起こっていた。また、それ以前にもWindowsとLinuxの安全性を比較した調査が白熱した議論を巻き起こしたことがあった。
Red Hatのセキュリティ対策チームリーダーであるMark Coxは22日、今回の調査結果について、「何らかの間違いがあったと確信している」と、同社ウェブサイト内のブログに書き込んでいる。同氏によると、この調査では「深刻」な脆弱性とその他の脆弱性が区別されていないが、この違いを考慮に入れて比較した場合はRed Hatのほうが有利な結果になるという。
Red Hatは、特にこのレポートに対してコメントしておらず、Coxのブログに言及しただけだった。
脆弱性の数え方
今回の調査にあたった研究者らは、2004年に両方のウェブサーバで見つかった欠陥を修正するパッチの数を計算した。さらに、彼らは脆弱性情報が公表されてから双方の開発者がその脆弱性を修正するパッチを公開するまでの日数も計算した。
その結果、Red Hat Enterprise Linux ES 3を運用しているサーバでは、この危険日数が1万2000日以上になったが、一方Windows Server 2003の危険日数は約1600日だったという。
欠陥に関しては、ウェブサーバソフトのApache、データベースのMySQL、スクリプティング言語のPHPを使用するRed Hatベースのウェブサーバの場合、デフォルト構成で174件の脆弱性が発見された。それに対し、Microsoft Server 2003、Internet Information Server 6、Microsoft SQL Server 2000、ASP.Netを組み合わせたウェブサーバでは、デフォルト構成で52件の脆弱性が見つかった。
この調査では、ウェブページの配信に必要でないアプリケーションを対象からはずした最小構成でも両者を比較した。この場合にも、Microsoftのシステムで見つかった欠陥はわずか52件だったのに対し、Red Hatのほうは132件が見つかったという。
この結果に対し、Red HatのCoxは次のような反論をブログに書き込んでいる。
「Red Hat Enterprise Linux 3には、MicrosoftもしくはRed Hatのいずれかの深刻度で『緊急/深刻』に分類される欠陥は、わずか8件しかなかった。欠陥の4分の3は24時間以内に修正され、対応に要した日数も平均8日だった」(Cox)
一般には、攻撃者がリモートからコンピュータシステムを支配できるようにしてしまうものが深刻な欠陥に分類される。実際、この調査でも脆弱性の深刻度を「高」「中」「低」に分類している。「高」に分類された欠陥には、Red HatとMicrosoftが深刻/緊急に分類しているものと、ローカルユーザーがシステムの機能にアクセスできるようにする欠陥とが含まれている。このレポートによると、深刻度が「高」の欠陥は、デフォルト構成でも最小構成でもMicrosoftの方が少なかったという。