ITリーダーの大多数(89%)が、オープンソースソフトウェアはプロプラエタリーソフトウェアと同じくらい安全だと考えていることが分かった。IBMの子会社で、「Red Hat Enterprise Linux(RHEL)」のメンテナーであるRed Hatが実施した調査の結果明らかになった。
Red Hatが発表したレポート「エンタープライズ向けオープンソースの現状」の調査結果は、インターネット自体と同じくらい古くからある、「オープンソースソフトウェアは『Windows』などのプロプライエタリーなソフトウェアよりも安全なのか」という議論に決着をつけるものになるかもしれない。
オープンソースのセキュリティに関しては、一般公開されているソースコードを多くの人が入念に確認することで、「隠ぺいによるセキュリティ(security through obscurity)」モデルと比較して、素早い修正につながる場合があるという議論がある。「隠ぺいによるセキュリティ」は、プロプライエタリーなソフトウェアに対して用いられている用語だ。コードベースを詳しく調べるのは従業員のみであるためだ。
最近では、この議論の焦点は、オープンソースプロジェクトに供給されている資金は十分かどうかということに移りつつある。Red Hatがレポートで強調しているように、ITリーダーの89%がオープンソースのセキュリティを信頼しているのは、オープンソースが成熟してきたからだ。
Red HatのテクノロジーエバンジェリストであるGordon Haff氏は、ITリーダーがオープンソースソフトウェアに対する評価を変えた理由は、まだあまりはっきりしていないと指摘している。
以前のこの問題に対する典型的な回答は、「オープンソースの方がコードを調べる人の目が多いので安全だ」というものだった。Haff氏は、「この回答の問題は、必ずしも十分な数の目があるわけではない場合や、その目が厳格なプロセスに裏打ちされた優れた技術者の目ではない場合もあるということだった。ある意味で、この論理はオープンソースは十分に安全であるという主張に対する『しかし悪者もソースコードを見ることができる』という反論の対位法旋律になっている」と述べている。
しかし同氏は、エンタープライズ向けオープンソースを採用するセキュリティ上のメリットを尋ねた質問で、「多くの人の目が得られること」の順位が下がっており、コードを自分たちで監査できることはそれ以上に重視されなくなっていることを意味すると指摘している。
同氏はまた、「エンタープライズ向けオープンソースは、プロプライエタリーなソフトウェアと同じ優れた特性を持つ一方で、オープンソースライセンスやオープンソース開発モデルの柔軟性から得られるメリットも持ち合わせていると評価されるようになりつつある」としている。
近年明白になっていることの1つは、オープンソースソフトウェアプロジェクトにはさらなる資金が必要だという点だ。脆弱性の発見やパッチの提供にはコストがかかる上に、世界のインターネットインフラは、これらのボランティアベースのプロジェクトに依存しているためだ。
また今回の調査では、オープンソースを採用するセキュリティ上のメリットとして、回答者の55%が社内アプリケーションに十分にテストされたオープンソースのコードを使用できることを挙げており、52%がセキュリティパッチのドキュメントが充実していることを挙げている。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
