編集部からのお知らせ
宇宙ビジネスの記事まとめダウンロード
記事まとめ「テレワーク常態化で見えたこと」
海外コメンタリー

Linuxカーネルのセキュリティ強化へ--グーグルがフルタイムのメンテナーを支援する理由

Steven J. Vaughan-Nichols (Special to ZDNet.com) 翻訳校正: 石橋啓一郎

2021-03-02 06:30

 「Windows」の重大なセキュリティ問題が毎週のように発見されている一方で、Linuxのセキュリティ問題は、詳しく見れば無能なシステム管理者によって引き起こされている場合が多い。しかし、Linuxがこの状況に安心することはできない。Linuxにも対応すべき重大なセキュリティの懸念はあるからだ。GoogleとThe Linux Foundationは、Linuxカーネルのセキュリティ開発を担当する2人のフルタイムで働くメンテナーの費用を負担することにした。Gustavo Silva氏とNathan Chancellor氏だ。

 Silva氏とChancellor氏は、カーネルセキュリティのメンテナンスと改善、およびLinuxのセキュリティの確保に関する取り組みに専念する。確かにやるべきことはある。

 The Linux FoundationのOpen Source Security Foundation(OpenSSF)ハーバード大学イノベーションサイエンス研究所(LISH)オープンソースコントリビューターを対象として実施した調査によって、オープンソースソフトウェアの開発では、多くの場合セキュリティが軽視されていることが明らかになった。確かに、Linuxには2万人以上のコントリビューターがいるし、2020年8月までに100万件のコミットあった。しかし、セキュリティはコントリビューターの最重要の問題ではなかった。

 残念ながら、この問題はトップから始まっている。Linuxの生みの親であるLinus Torvalds氏は、Linuxセキュリティの改善を必要以上に面倒な問題にしてしまう人々をひどく嫌っている。2017年には、同氏特有のスタイルで、一部のセキュリティ開発者に侮辱的な言葉を投げつけたこともある。しかし同氏は、刺激的な態度を取ることも多いとはいえ、セキュリティ開発者に方向性を与えてもいる。

 Torvalds氏の観点から見れば、「セキュリティ問題は単なるバグだ。(中略)私が興味があるプロセスは『開発』プロセスだけであり、そこにバグが見つかるので修正しているだけだ」ということらしい。あるいは、Torvalds氏が2008年に述べているように、「私にとってセキュリティは重要だ。しかし、やはり重要なほかのことよりも重要性が低いわけではないというだけだ」ということなのだろう。

 そのような見方をしているのはTorvalds氏だけではない。Linuxの「Wireguard Virtual Private Network(VPN)」の作者であるJason A. Donenfeld氏も、Linuxカーネルメーリングリスト(LKML)で「一部のセキュリティ関係者は、ほかのセキュリティ関係者の『セキュリティバグ』に対する強迫観念を小馬鹿している」と述べたことがある。

 同氏はさらに、「セキュリティ業界は、おおむねそうした『危険/有用』なさまざまなバグを発見(および販売/使用/修正/報告/紹介/蓄積/検出/窃盗)することに取り憑かれている。そして、この強迫観念は常に満たされている。それはバグが常に生まれ続けているからであり(ソフトウェア開発はもともとそういうものだ)、この『セキュリティバグ』に対する熱狂は今後も続いていくだろう」と付け加えている。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    MITスローン編著、経営層向けガイド「AIと機械学習の重要性」日本語版

  2. クラウドコンピューティング

    AWS提供! 機械学習でビジネスの成功を掴むためのエグゼクティブ向けプレイブック

  3. クラウドコンピューティング

    DX実現の鍵は「深層学習を用いたアプリ開発の高度化」 最適な導入アプローチをIDCが提言

  4. セキュリティ

    ランサムウェアを阻止するための10のベストプラクティス、エンドポイント保護編

  5. セキュリティ

    テレワークで急増、リモートデスクトップ経由のサイバー脅威、実態と対策とは

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]