「Windowsのほうが安全」の調査結果にレッドハット幹部が反発

Robert Lemos(CNET News.com) 2005年03月24日 22時12分

  • このエントリーをはてなブックマークに追加

 Linuxでウェブサイトを運用する企業のほうが、Windowsを使う企業よりもリスクが高い。これはMicrosoftが資金を提供した調査の結論だ。

 昨年ウェブサーバで見つかった欠陥の数は、Windows Server 2003ベースのシステムのほうが、標準的な構成のRed Hat Enterprise Linux ES 3ベースのものよりも少なかったと、この調査を実施した研究者らは米国時間22日に公表した論文のなかで述べている。

 さらに、Microsoftベースのウェブサーバのほうが、オープンソースのライバル製品よりも「危険日数」が少なかったことが、この調査で明らかになった。「危険日数」とは、脆弱性の存在が明らかになった日から、それを修正するパッチが適応された期間の日数を指す。

 この論文は3人のセキュリティ研究者がまとめたものだが、そのなかの1人で、セキュリティ対策ソフトウェアメーカー、Security Innovationsの調査/トレーニングディレクターであるHerbert Thompsonは、「この調査結果から言えるのは、どちらのプラットフォームのほうが安全かという点については一般論に流されるべきではない、ということだけだ」と述べている。一般的には、Linuxの方がWindowsより安全だとされている。

 先月開催されたRSA Conferenceで詳細の一部が明らかにされていたことから、この論文をめぐっては、すでに論争が巻き起こっていた。また、それ以前にもWindowsとLinuxの安全性を比較した調査が白熱した議論を巻き起こしたことがあった。

 Red Hatのセキュリティ対策チームリーダーであるMark Coxは22日、今回の調査結果について、「何らかの間違いがあったと確信している」と、同社ウェブサイト内のブログに書き込んでいる。同氏によると、この調査では「深刻」な脆弱性とその他の脆弱性が区別されていないが、この違いを考慮に入れて比較した場合はRed Hatのほうが有利な結果になるという。

 Red Hatは、特にこのレポートに対してコメントしておらず、Coxのブログに言及しただけだった。

脆弱性の数え方

 今回の調査にあたった研究者らは、2004年に両方のウェブサーバで見つかった欠陥を修正するパッチの数を計算した。さらに、彼らは脆弱性情報が公表されてから双方の開発者がその脆弱性を修正するパッチを公開するまでの日数も計算した。

 その結果、Red Hat Enterprise Linux ES 3を運用しているサーバでは、この危険日数が1万2000日以上になったが、一方Windows Server 2003の危険日数は約1600日だったという。

 欠陥に関しては、ウェブサーバソフトのApache、データベースのMySQL、スクリプティング言語のPHPを使用するRed Hatベースのウェブサーバの場合、デフォルト構成で174件の脆弱性が発見された。それに対し、Microsoft Server 2003、Internet Information Server 6、Microsoft SQL Server 2000、ASP.Netを組み合わせたウェブサーバでは、デフォルト構成で52件の脆弱性が見つかった。

 この調査では、ウェブページの配信に必要でないアプリケーションを対象からはずした最小構成でも両者を比較した。この場合にも、Microsoftのシステムで見つかった欠陥はわずか52件だったのに対し、Red Hatのほうは132件が見つかったという。

 この結果に対し、Red HatのCoxは次のような反論をブログに書き込んでいる。

 「Red Hat Enterprise Linux 3には、MicrosoftもしくはRed Hatのいずれかの深刻度で『緊急/深刻』に分類される欠陥は、わずか8件しかなかった。欠陥の4分の3は24時間以内に修正され、対応に要した日数も平均8日だった」(Cox)

 一般には、攻撃者がリモートからコンピュータシステムを支配できるようにしてしまうものが深刻な欠陥に分類される。実際、この調査でも脆弱性の深刻度を「高」「中」「低」に分類している。「高」に分類された欠陥には、Red HatとMicrosoftが深刻/緊急に分類しているものと、ローカルユーザーがシステムの機能にアクセスできるようにする欠陥とが含まれている。このレポートによると、深刻度が「高」の欠陥は、デフォルト構成でも最小構成でもMicrosoftの方が少なかったという。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連キーワード
セキュリティ

関連ホワイトペーパー

SpecialPR

連載

CIO
ハードから読み解くITトレンド放談
大木豊成「仕事で使うアップルのトリセツ」
研究現場から見たAI
ITは「ひみつ道具」の夢を見る
内製化とユーザー体験の関係
米ZDNet編集長Larryの独り言
今週の明言
「プロジェクトマネジメント」の解き方
田中克己「2020年のIT企業」
松岡功「一言もの申す」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
Fintechの正体
内山悟志「IT部門はどこに向かうのか」
情報通信技術の新しい使い方
三国大洋のスクラップブック
大河原克行のエンプラ徒然
コミュニケーション
情報系システム最適化
モバイル
通信のゆくえを追う
セキュリティ
企業セキュリティの歩き方
サイバーセキュリティ未来考
セキュリティの論点
ネットワークセキュリティ
スペシャル
Gartner Symposium
企業決算
ソフトウェア開発パラダイムの進化
座談会@ZDNet
Dr.津田のクラウドトップガン対談
CSIRT座談会--バンダイナムコや大成建設、DeNAに聞く
創造的破壊を--次世代SIer座談会
「SD-WAN」の現在
展望2017
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
AWS Summit
PTC LiveWorx
古賀政純「Dockerがもたらすビジネス変革」
さとうなおきの「週刊Azureなう」
誰もが開発者になる時代 ~業務システム開発の現場を行く~
中国ビジネス四方山話
より賢く活用するためのOSS最新動向
「Windows 10」法人導入の手引き
Windows Server 2003サポート終了へ秒読み
米株式動向
実践ビッグデータ
日本株展望
ベトナムでビジネス
アジアのIT
10の事情
エンタープライズトレンド
クラウドと仮想化