OSSの脆弱性に関する考察
私見ながら、その理由は2つあると考えている。1つは、OSS開発者たちの特性だ。OSSの開発者は、ウェブサーバなどのミドルウェアを個人の技量で作れてしまう高度な技術を持った人材だ。世界中にリスペクトされるような先見の明を持っている人や、既に著名人として活躍している人も多い。しかしながら、それらの個性はOSSの製品としての品質やセキュリティ機能面に直結するものではない。そもそも、先端的な仕様を思いつき、それを実装できるスキルだけでも非常に希少なのに、品質管理などのスキルを併せ持つスーパーマンなどそうそういるものではない。
実は筆者もOSSの1つであるPostgreSQLの普及振興をミッションとするNPO法人「日本PostgreSQLユーザ会」の理事の肩書きを持っている。その関係で、(技術者ではないので開発などは行っていないものの)当然それらの人々とも親交がある。幸いにもPostgreSQLを含むデータベース(DB)は、攻撃者のターゲットではあるものの、インターネットに直接接続することは非常にまれだ。そのため、DBの脆弱性があったとしても大きなリスクになることは少なく、その点では大いに助かっている。
開発者の方々との交流において最も強く感じるのは、彼らが持つ圧倒的な探究心や好奇心である。広範にわたる知識の中では、セキュリティを包含することは多いものの、決して彼らの中でセキュリティ要件が最優先になることはないだろう。なぜなら、そもそも役割が異なるのだ。例えば、サッカーでもフォワード(FW)の役割は前を向いてボールをゴールに入れることだ。ディフェンダー(DF)のような対戦相手の攻撃スペースを消す動きや、ボランチやゲームメーカーのように試合を支配する動きとは直接関係が無い。特に得点王を狙えるようなFWであれば、よりゴールを入れる行動を増やすことが、より大きな成果につながりやすい。OSS開発者たちがこの役割を果し続けてくれたおかげで、OSSの幾つかは世界的な成功を遂げたのである。
もう1つはユーザー側の問題だ。この連載で何度か言及しているように、日本のIT市場環境は圧倒的にベンダー主導だ。ユーザー企業はシステムの仕様や設計などを全てベンダー側に依存しており、ベンダーは契約の範囲を大きく越えた高いサービスレベルを顧客に提供してきている。そこには本来、OSS利用の大前提で明記もされている「ユーザーの自己責任(At your own risk)」という意識が完全に欠落しているのだ。つまり、OSSを導入していても、それはベンダーが提供してくれた(ベンダーがなんとかしてくれる)システムに過ぎない。そもそも、ユーザー企業側にOSSを利用している意識が無いのだ。この意識は、インターネットが普及するはるか以前の“ケーブル1本まで純正”によるコンピュータメーカーおよび系列ベンダーによる汎用機の頃からほとんど変わっていない。
正直な話、無償のOSSを導入しておいて、全てにおいて高コストになりやすい汎用機と同じサービスレベルを受けられると考えるのは都合が良すぎる。また、さまざまな個別対応が可能な汎用機とほとんど変わらないかのようなセールストークでOSSを導入したベンダー側の課題も決して軽いものではない。
だからといって、今後OSSをほとんど利用しないという選択をするのは難しい。全世界に広く普及したOSSの代替になる商用ソフトウェアはそう多くない。あったとしても、非常にシェアが低いものなら、やはりセキュリティを含む品質面の課題が出てくる。また、代替製品が高額であれば、コスト面で足を引っ張り、世界での競争に遅れをとることにつながるからだ。結局は、ユーザーがOSSを正しく認識し、どうすれば上手に付き合えるかを考えるしかないのだ。
次回は、このことをもう少し深堀し、ユーザーがOSSとどうすれば上手に付き合えるかについて論じていきたい。
- 武田 一城(たけだ かずしろ)
- 株式会社ラック 1974年生まれ。システムプラットフォーム、セキュリティ分野の業界構造や仕組みに詳しいマーケティングのスペシャリスト。次世代型ファイアウォールほか、数多くの新事業の立ち上げを経験している。web/雑誌ほかの種媒体への執筆実績も多数あり。 NPO法人日本PostgreSQLユーザ会理事。日本ネットワークセキュリティ協会(JNSA)のワーキンググループや情報処理推進機構(IPA)の委員会活動、各種シンポジウムや研究会、勉強会での講演なども精力的に活動している。
