このようなケースは決して初めてではない。Linuxの「脆弱性」として最近公開された「Chaos」は、攻撃に際して管理者(root)のパスワードを必要としている。そしてニュースの見出しは、攻撃者が管理者パスワードを手に入れた場合、その時点でシステムは完全に制御を奪い去られているというものだ。他のあらゆることは単なる詳細になってしまうのだ。
Torvalds氏は、「発見された脆弱性に批判的になってはいけないと主張してきたのは、他でもないセキュリティ業界なのだ」と述べている。
また同氏は、「本物のセキュリティ研究者もいる」と考えている。そういった人々以外の多くは、ほんのささいなものも含め、セキュリティ上のバグを報告することがすべてになっている。
Torvalds氏は「こういった点で、セキュリティに携わる人々は、自らが道化師のように見られていると認識する必要がある。セキュリティ業界全体はまず、数多くのたわごとが存在していることを認め、批判的な考え方を採用、そして奨励するべきだ」と考えている。
最近、同氏はこうした姿勢をあらためて強く示し、2017年には、提案されたLinuxカーネルの変更について、「私が、セキュリティの問題は主に『ただのバグ』だと述べると、一部のセキュリティ関係者は私をばかにした。こうしたセキュリティ関係者は全くのばかだ」と述べた。
Torvalds氏がセキュリティプログラマーや研究者に真に求めているのは、最近述べていた次のようなことだ。
- 最初のステップは、「常に」「とにかく報告する」ことであるべきだ。動作不能にするのではなく、アクセスを止めるのでもない。報告するのだ。それだけだ。
- セキュリティ強化を目指すにあたっては、『害をなすなかれ』をモットーとすべきだ。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
