編集部からのお知らせ
記事まとめ「サードパーティークッキー問題」公開
記事まとめ読み:GIGAスクール
海外コメンタリー

Linuxカーネルのセキュリティ強化へ--グーグルがフルタイムのメンテナーを支援する理由

Steven J. Vaughan-Nichols (Special to ZDNet.com) 翻訳校正: 石橋啓一郎

2021-03-02 06:30

 「Windows」の重大なセキュリティ問題が毎週のように発見されている一方で、Linuxのセキュリティ問題は、詳しく見れば無能なシステム管理者によって引き起こされている場合が多い。しかし、Linuxがこの状況に安心することはできない。Linuxにも対応すべき重大なセキュリティの懸念はあるからだ。GoogleとThe Linux Foundationは、Linuxカーネルのセキュリティ開発を担当する2人のフルタイムで働くメンテナーの費用を負担することにした。Gustavo Silva氏とNathan Chancellor氏だ。

 Silva氏とChancellor氏は、カーネルセキュリティのメンテナンスと改善、およびLinuxのセキュリティの確保に関する取り組みに専念する。確かにやるべきことはある。

 The Linux FoundationのOpen Source Security Foundation(OpenSSF)ハーバード大学イノベーションサイエンス研究所(LISH)オープンソースコントリビューターを対象として実施した調査によって、オープンソースソフトウェアの開発では、多くの場合セキュリティが軽視されていることが明らかになった。確かに、Linuxには2万人以上のコントリビューターがいるし、2020年8月までに100万件のコミットあった。しかし、セキュリティはコントリビューターの最重要の問題ではなかった。

 残念ながら、この問題はトップから始まっている。Linuxの生みの親であるLinus Torvalds氏は、Linuxセキュリティの改善を必要以上に面倒な問題にしてしまう人々をひどく嫌っている。2017年には、同氏特有のスタイルで、一部のセキュリティ開発者に侮辱的な言葉を投げつけたこともある。しかし同氏は、刺激的な態度を取ることも多いとはいえ、セキュリティ開発者に方向性を与えてもいる。

 Torvalds氏の観点から見れば、「セキュリティ問題は単なるバグだ。(中略)私が興味があるプロセスは『開発』プロセスだけであり、そこにバグが見つかるので修正しているだけだ」ということらしい。あるいは、Torvalds氏が2008年に述べているように、「私にとってセキュリティは重要だ。しかし、やはり重要なほかのことよりも重要性が低いわけではないというだけだ」ということなのだろう。

 そのような見方をしているのはTorvalds氏だけではない。Linuxの「Wireguard Virtual Private Network(VPN)」の作者であるJason A. Donenfeld氏も、Linuxカーネルメーリングリスト(LKML)で「一部のセキュリティ関係者は、ほかのセキュリティ関係者の『セキュリティバグ』に対する強迫観念を小馬鹿している」と述べたことがある。

 同氏はさらに、「セキュリティ業界は、おおむねそうした『危険/有用』なさまざまなバグを発見(および販売/使用/修正/報告/紹介/蓄積/検出/窃盗)することに取り憑かれている。そして、この強迫観念は常に満たされている。それはバグが常に生まれ続けているからであり(ソフトウェア開発はもともとそういうものだ)、この『セキュリティバグ』に対する熱狂は今後も続いていくだろう」と付け加えている。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. 運用管理

    最先端のデータサイエンティストでいるための5つのヒント—AIによる高度化でデータの達人であり続ける

  2. ビジネスアプリケーション

    経理部門 554人に聞いた「新しい経理部門の働き方」 その実現に向けた具体的な行動指針を解説

  3. セキュリティ

    パンデミックに乗じたサイバー攻撃に屈しない 最新の脅威分析レポートに見る攻撃パターンと対応策

  4. 運用管理

    DX時代にIBM i は継続利用できるのか? モダナイゼーション実施で考えておくべき5つの視点

  5. セキュリティ

    サイバー攻撃でPCに何が起きている? サイバーディフェンス研究所の名和氏が語るフォレンジックのいま

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]