海外コメンタリー

Linuxカーネルのセキュリティ強化へ--グーグルがフルタイムのメンテナーを支援する理由

Steven J. Vaughan-Nichols (Special to ZDNET.com) 翻訳校正: 石橋啓一郎

2021-03-02 06:30

 「Windows」の重大なセキュリティ問題が毎週のように発見されている一方で、Linuxのセキュリティ問題は、詳しく見れば無能なシステム管理者によって引き起こされている場合が多い。しかし、Linuxがこの状況に安心することはできない。Linuxにも対応すべき重大なセキュリティの懸念はあるからだ。GoogleとThe Linux Foundationは、Linuxカーネルのセキュリティ開発を担当する2人のフルタイムで働くメンテナーの費用を負担することにした。Gustavo Silva氏とNathan Chancellor氏だ。

 Silva氏とChancellor氏は、カーネルセキュリティのメンテナンスと改善、およびLinuxのセキュリティの確保に関する取り組みに専念する。確かにやるべきことはある。

 The Linux FoundationのOpen Source Security Foundation(OpenSSF)ハーバード大学イノベーションサイエンス研究所(LISH)オープンソースコントリビューターを対象として実施した調査によって、オープンソースソフトウェアの開発では、多くの場合セキュリティが軽視されていることが明らかになった。確かに、Linuxには2万人以上のコントリビューターがいるし、2020年8月までに100万件のコミットあった。しかし、セキュリティはコントリビューターの最重要の問題ではなかった。

 残念ながら、この問題はトップから始まっている。Linuxの生みの親であるLinus Torvalds氏は、Linuxセキュリティの改善を必要以上に面倒な問題にしてしまう人々をひどく嫌っている。2017年には、同氏特有のスタイルで、一部のセキュリティ開発者に侮辱的な言葉を投げつけたこともある。しかし同氏は、刺激的な態度を取ることも多いとはいえ、セキュリティ開発者に方向性を与えてもいる。

 Torvalds氏の観点から見れば、「セキュリティ問題は単なるバグだ。(中略)私が興味があるプロセスは『開発』プロセスだけであり、そこにバグが見つかるので修正しているだけだ」ということらしい。あるいは、Torvalds氏が2008年に述べているように、「私にとってセキュリティは重要だ。しかし、やはり重要なほかのことよりも重要性が低いわけではないというだけだ」ということなのだろう。

 そのような見方をしているのはTorvalds氏だけではない。Linuxの「Wireguard Virtual Private Network(VPN)」の作者であるJason A. Donenfeld氏も、Linuxカーネルメーリングリスト(LKML)で「一部のセキュリティ関係者は、ほかのセキュリティ関係者の『セキュリティバグ』に対する強迫観念を小馬鹿している」と述べたことがある。

 同氏はさらに、「セキュリティ業界は、おおむねそうした『危険/有用』なさまざまなバグを発見(および販売/使用/修正/報告/紹介/蓄積/検出/窃盗)することに取り憑かれている。そして、この強迫観念は常に満たされている。それはバグが常に生まれ続けているからであり(ソフトウェア開発はもともとそういうものだ)、この『セキュリティバグ』に対する熱狂は今後も続いていくだろう」と付け加えている。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    従来型のセキュリティでは太刀打ちできない「生成AIによるサイバー攻撃」撃退法のススメ

  2. セキュリティ

    AIサイバー攻撃の増加でフォーティネットが提言、高いセキュリティ意識を実現するトレーニングの重要性

  3. 運用管理

    メールアラートは廃止すべき時が来た! IT運用担当者がゆとりを取り戻す5つの方法

  4. 開発

    「スピード感のある価値提供」と「高品質な製品」を両立させるテスト会社の使い方

  5. セキュリティ

    クラウド資産を守るための最新の施策、クラウドストライクが提示するチェックリスト

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]