企業セキュリティの歩き方

OSSと脆弱性の“現実”—その本質と「ライナスの法則」を探る

武田一城 (ラック) 2017年11月27日 06時00分

  • このエントリーをはてなブックマークに追加

 本連載「企業セキュリティの歩き方」では、セキュリティ業界を取り巻く現状や課題、問題点をひもときながら、サイバーセキュリティを向上させていくための視点やヒントを提示する。

「OSSは脆弱だ」という意見

 前回は、オープンソースソフトウェア(OSS)がITシステムの主流となっている現状を踏まえ、2014年に発生した多くのOSSの脆弱性とそれにまつわる日本でのセキュリティ事故や影響を取り上げた。そして、無償のソフトウェアということから「安かろう。悪かろう」という昔ながらの“格言”と相まって、OSS自体が脆弱だとみなされてしまう風潮が広まり出したことを記した。今回は、本来ならば便利でコストパフォーマンスが良いはずのOSSと、この課題を前提にどう付き合うかについて述べる。

 まず、「OSSだからセキュリティが弱い」という意見の概要を述べよう。この点について実はOSSが登場し、本格的に普及し始めた2000年代初頭から既に議論になることがあった。それは、OSSがその名の通り、ソースコードがオープンになっていることから、「攻撃者がその構造を深く理解しやすく、構造を把握すれば不正侵入などに悪用しやすい」というロジックだ。このロジックには当然一理も二理もあるが、そもそも攻撃者がOSやミドルウェアの構造を完全に把握していなければ攻撃ができないという前提に立っていると思われる。

 しかし、OSやミドルウェアのソースコードを見て理解することと、そのソースコードの中の脆弱性を発見するために必要なスキルセットは、必ずしも一致しない。一致しないどころか、ほとんど別次元の能力と言った方が正確だろう。ソースコードが見られるからと言って、生まれたばかりのモノやほとんど利用されていない状態のような未完成モノであれば脆弱性だらけということもあるだろう。しかし、一定レベルの品質のOSSであれば、そう簡単に脆弱性を発見できることは、ほとんどないはずだ。

 また、何らかの脆弱性を発見しても設定やその他のシステム環境によって、効力を発揮しないものも多い。これでは攻撃者がいくら高い知識と技量を持っていたとしても、よほどの理由がない限り、その貴重なリソースをそれほど確率の高くない作業に浪費することはないだろう。

対策が難しいゼロディ攻撃

 なお、誰にも気付かれていない(公開されていない)脆弱性を攻撃者が自ら発見し、そこを目掛けて仕掛ける攻撃を「ゼロディ攻撃」という。これは上記のような理由から、その発生の頻度は著しく低い。そして、この非常に希少な攻撃を受けてしまったとしても、結局のところ一般企業はもちろん、セキュリティ専業ベンダーなどでも対策するのが難しい。例えるなら、ゴジラの襲来、恐竜が滅亡する規模の隕石落下、マグニチュード7級の直下型地震といった脅威に、個人や企業が対応策を考えるようなものだ。そのようなものの対策に貴重な個人や企業のリソースを割くよりも、一般の攻撃リスクに備えることが懸命だろう。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

連載

CIO
IT部門の苦悩
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
「企業セキュリティの歩き方」
「サイバーセキュリティ未来考」
「ネットワークセキュリティの要諦」
「セキュリティの論点」
スペシャル
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
AWS Summit
PTC LiveWorx
より賢く活用するためのOSS最新動向
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
米株式動向
日本株展望
企業決算