本連載「企業セキュリティの歩き方」では、セキュリティ業界を取り巻く現状や課題、問題点をひもときながら、サイバーセキュリティを向上させていくための視点やヒントを提示する。
「OSSは脆弱だ」という意見
前回は、オープンソースソフトウェア(OSS)がITシステムの主流となっている現状を踏まえ、2014年に発生した多くのOSSの脆弱性とそれにまつわる日本でのセキュリティ事故や影響を取り上げた。そして、無償のソフトウェアということから「安かろう。悪かろう」という昔ながらの“格言”と相まって、OSS自体が脆弱だとみなされてしまう風潮が広まり出したことを記した。今回は、本来ならば便利でコストパフォーマンスが良いはずのOSSと、この課題を前提にどう付き合うかについて述べる。
まず、「OSSだからセキュリティが弱い」という意見の概要を述べよう。この点について実はOSSが登場し、本格的に普及し始めた2000年代初頭から既に議論になることがあった。それは、OSSがその名の通り、ソースコードがオープンになっていることから、「攻撃者がその構造を深く理解しやすく、構造を把握すれば不正侵入などに悪用しやすい」というロジックだ。このロジックには当然一理も二理もあるが、そもそも攻撃者がOSやミドルウェアの構造を完全に把握していなければ攻撃ができないという前提に立っていると思われる。
しかし、OSやミドルウェアのソースコードを見て理解することと、そのソースコードの中の脆弱性を発見するために必要なスキルセットは、必ずしも一致しない。一致しないどころか、ほとんど別次元の能力と言った方が正確だろう。ソースコードが見られるからと言って、生まれたばかりのモノやほとんど利用されていない状態のような未完成モノであれば脆弱性だらけということもあるだろう。しかし、一定レベルの品質のOSSであれば、そう簡単に脆弱性を発見できることは、ほとんどないはずだ。
また、何らかの脆弱性を発見しても設定やその他のシステム環境によって、効力を発揮しないものも多い。これでは攻撃者がいくら高い知識と技量を持っていたとしても、よほどの理由がない限り、その貴重なリソースをそれほど確率の高くない作業に浪費することはないだろう。
対策が難しいゼロディ攻撃
なお、誰にも気付かれていない(公開されていない)脆弱性を攻撃者が自ら発見し、そこを目掛けて仕掛ける攻撃を「ゼロディ攻撃」という。これは上記のような理由から、その発生の頻度は著しく低い。そして、この非常に希少な攻撃を受けてしまったとしても、結局のところ一般企業はもちろん、セキュリティ専業ベンダーなどでも対策するのが難しい。例えるなら、ゴジラの襲来、恐竜が滅亡する規模の隕石落下、マグニチュード7級の直下型地震といった脅威に、個人や企業が対応策を考えるようなものだ。そのようなものの対策に貴重な個人や企業のリソースを割くよりも、一般の攻撃リスクに備えることが懸命だろう。
