編集部からのお知らせ
新着! 記事まとめ「ジェネレーティブ」
記事まとめ:IT各社の中期経営計画
海外コメンタリー

2022年、Linuxとオープンソース開発者の最優先事項はセキュリティ

Steven J. Vaughan-Nichols (Special to ZDNet.com) 翻訳校正: 石橋啓一郎

2022-01-17 06:45

 Linuxはあらゆるところで使われている。あらゆるクラウドで(Microsoft Azureも含めて)使われているだけでなく、「TOP500」のスーパーコンピューターも、そのすべてがLinuxで動いている。また、Pornhubの記事を信じるとすれば、デスクトップの分野でもLinuxが増えており、「Windows」ユーザーが3%減少している一方で、Linuxユーザーは28%増加したという。

 また、オープンソースソフトウェア(OSS)も飛躍的に成長している。Gartnerが発表した2021年版「Hype Cycle for Open-Source Software」(オープンソースソフトウェアのハイプサイクル)では、「2025年までに、企業の70%でOSSに対するIT支出が現在よりも増加する。それに加えて、2025年までには、OSSの利用モデルとしてサービスとしてのソフトウェア(SaaS)が好まれるようになる。これは、運用のシンプルさ、セキュリティ、スケーラビリティを提供できるためだ」と述べている。

 Gartnerは、エンタープライズソフトウェアの根幹であるデータベースに関しても、新たに導入される社内アプリケーションの70%以上がオープンソースデータベースを使用して開発されると述べている。また2025年には、既存のプロプライエタリなリレーショナルデータベースのインスタンスの50%がオープンソースのDBMSに転換済みか、転換される過程にあると予想している。

 Linuxとオープンソースが生まれた頃からそれらについて追いかけてきた筆者は、これらの数字は当たると見ている。どこに行って誰と話しても、ソフトウェア業界を動かしているのがLinuxとOSSであることを認めない人はいない。

 しかし、スパイダーマンが言うように、大いなる力には大いなる責任が伴う。多くの開発者は、Javaのオープンソースのログ出力ライブラリーである「Apache Log4j2」に脆弱性が発見されたことで、そのことを痛いほど理解した。

 Log4j2の問題は、これ以上ない最悪の状況に陥っている。この脆弱性はCVSS v3の評価基準で10.0と評価されている。つまり悪夢だ。

 オープンソース自体に問題があるわけではない。オープンソースの手法とセキュリティの間に、何か不思議な関係があるわけではないからだ。セキュリティに影響を与えるようなミスが、コードに紛れ込むことはあり得る話だといえる。

 Linusの法則と呼ばれるものがある。その内容は「十分な数の人の目があれば、どのようなバグも深刻ではない」というものだ。しかし、もしチェックしている開発者の数が不足していれば、脆弱性が気づかれないままになる可能性はある。Bruce Schneier氏が言うように、「セキュリティは製品ではなくプロセス」なのだ。これは、すべてのソフトウェアのセキュリティを確保するためには、常に注意を払い続ける必要があることを意味している。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]