編集部からのお知らせ
ZDNet Japanが新しくなりました!
New! 懸念高まる産業機器のセキュリティ
企業セキュリティの歩き方

OSSと脆弱性の“現実”--脆弱性の真犯人は誰か? - (page 2)

武田一城 (ラック)

2017-12-18 06:00

OSS脆弱性の犯人はタダ乗り利用者?

 読者の方でも、このようなOSSコミュニティーに「私は貢献している」という方はそれほど多くないだろう。正直、一般の方はもちろんシステムエンジニアという職に就いている人であっても、コミュニティーへの参加の敷居は決して低くはない。しかし、その理由は決してコミュニティーが閉鎖的だからという訳ではない。その証拠に(少々広告のようだが)日本PostgreSQLユーザ会も常に運営スタッフの新メンバーを募集している。ほとんどのOSSコミュニティーは“千客万来”と言ってもよい状況であり、参画を阻害されるようなことはまず無いはずだ。

 しかし、それでも利用者が最初の一歩を踏み出すことはほとんどないのが現実だ。そして、結局「OSSに貢献したい」と自ら手を挙げず、OSSのメリットだけは享受するという「タダ乗りの利用者」が多く生まれてしまうのだ。そして、残念ながらこのような人々がOSSを脆弱にしている面がある。これは“極論”であり、場合によっては“暴論”と言っても過言ではないかもしれない。しかし、謗られることを甘受して私見を述べたい。

 OSSの脆弱性は「世界中のタダ乗りの利用者によって作られている」。その理由は、「OSSの脆弱性を攻撃者がなぜ狙うのか」ということを考えれば分かる。もし、非常に脆弱なシステム環境があったとしても、それがほとんど誰も利用していないものなら、成果はほとんどない。端的に言うと、攻撃を仕掛ける手間が無駄になるだけだ。逆に世界中に普及したシステムなどに脆弱性があり、それを突く攻撃ができれば、攻撃を驚くほど効率よく行える。攻撃者のほとんどは、ビジネスとしてサイバー攻撃を行っている。そのため、ターゲットが多ければ多いほど、そのリターンも多くなるという寸法だ。OSSであれば、その普及のスピードは速く、高いシェアを持つようになりやすい。そのような成功したOSSであれば、それだけで重要なターゲットに成り得るのである。

 このような論理に照らすと、「OSSに貢献せずタダ乗りしている利用者」が攻撃者を呼び込んでいるということになる。もちろん、タダ乗りしている利用者がOSSの脆弱性自体を作り出しているということではない。つまり、タダ乗りしている多くの利用者がOSSの脆弱性を社会問題化させているという“事実”は少なからずあるのだ。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

Special PR

特集

CIO

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]