「安かろう、悪かろう」という脆弱性の本質
また、一般利用者から見たOSSの最大の特徴である「ライセンスが無償であること」も脆弱と感じられる要因になっているだろう。これは前回にも記した「安かろう、悪かろう」という“格言”に裏付けられた一般的なイメージだ。もちろん、コストを掛ければそれだけセキュリティ機能を充実させることができる。だから、「無償のOSSはセキュリティが弱い」というロジックが一応は成り立つ。
しかし、無償であることとセキュリティの高低との因果関係は希薄だ。しかも、OSSも世界中の開発コミュニティーや、場合によっては大企業などの寄付によって多くの投資がなされ、商用ソフトウェア以上のコストがかかっていることも決して珍しくは無い。そして、メーカーの大小を問わず商用のソフトウェアが必ずしもセキュアでないことは、今さら具体例を挙げるまでも無く、読者の皆さんも重々認識されていることと思う。
セキュリティ機能は可視化や差別化が非常に難しい。例え豊富な資本を持った世界トップクラスのメーカーであっても、商品力の向上に寄与しない機能に多くコストをかけることは考えにくい。結局は、OSSであるか商用ソフトウェアであるかに関係は無く、そのソフトウェアの開発者の技術スキルや品質管理の体制、仕組みが一定レベル以上であるかどうかということに尽きる。
OSS脆弱性の原因とその分析
「ライナスの法則」とその限界
OSSのセキュリティを含む品質面の課題、それは一般に良く知られている「ライナスの法則」というもので一定の反論ができる。ライナスの法則とは、Linuxの開発者であるLinus Torvalds氏の“given enough eyeballs, all bugs are shallow.”というという言葉が発端となった法則だ。これを直訳すると「目がたくさんあれば、どんなバグもたいしたことはない」ということだ。
脆弱性はセキュリティ要件におけるバグだといってよいだろう。OSSであれば、ソースコードが公開されているので、多くの技術者の目にさらされる。その結果、バグや脆弱性はどんどん潰れるというものであり、企業が責任持ってサポートする(バグや脆弱性にも責任持って対処する)商用ソフトウェアに対し、「OSSはその品質を保てるのか?」という批判に対する答えとして、OSS黎明期から語られた言葉であった。
それでも2014年に頻発したOSSの脆弱性の発見とその後の事件において、この「ライナスの法則」での説得は限界に達してしまった。なぜなら、前回述べた脆弱性は、比較的単純なバグに起因するものや、何十年もの長期間にわたって内包され続けたものもあったからだ。つまり、「なんでこれに世界中の技術者が気づかなかった?」というレベルの話になったのである。これではたくさんの目でバグや脆弱性を検証しているからたいしたことはない――などと、これからも自信を持って断言し続けることはできないだろう。
