セキュリティバグをプロプライエタリ化することの是非

opensource 2005-08-03 17:52:50

 各方面に波及した大騒動ののち、Cisco Systemsは、同社のルータソフトウェアに存在するセキュリティ問題を発見したInternet Security Systems(ISS)の元社員Michael Lynnに、その口を閉ざすよう強いることについに成功した。

 Lynnは、今年4月、Ciscoのソフトウェアにバッファオーバーフロー問題があることに気づき、同社にその旨を警告したが、Ciscoは問題を適切に修復できなかったと話している。そこで、7月半ばにラスベガスで開催されたBlack Hat Briefingsでこの問題を発表しようと、Lynnは準備を進めたのだが、これを知ったCiscoは暫定的な講演中止命令を発した。ISSもLynnのプレゼンテーションの中止に賛成したが、数時間後、彼は職を辞して問題の告発を敢行した。Lynnは、「国家の利益のためにも正しいことをしなければならなかった」と話しており、また、すでに犯罪者らがこの欠陥を悪用しようとしていたと、当時を振り返っている。

 CiscoはLynnの告発に法的文書をもって応え、Lynnは口を閉ざすことになった。

 だが、はたしてCiscoにはそんなことをする権利があるのだろうか? CiscoはCiscoにとって正しいことをしたに過ぎないのではなかろうか?

 バグを公開せず、プロプライエタリな状態にとどめておくことの是非は、それがセキュリティに関するものであればなおさら、判別しするのが難しい。ある者は、豆をまき散らしておけば、悪漢にそこに何かがあると教えることになると主張し、またある者は、豆をまき散らしておくことこそ、正義の味方を呼び寄せる唯一の方法だと言い張っているのだ。

 わたしは以前、ある有名なグラフについて議論したことがある。このグラフには、脆弱性が悪用されるリスクは、問題の公表からその修復までの間に最も高くなることが示されていた。そうしたリスクはしかし、問題が発見されてからすぐに高くなり始め、けっしてゼロには戻らないのである。

 適切なタイミングを見計らって情報公開をすること--セキュリティプロセスのオープンソース化と言い換えてもよい--が、時機を得た問題修正につながるのだろうか? それとも、ぺらぺらと何でもしゃべってしまったほうが、物事は回転し始めるのだろうか?

 Ciscoは法廷裁決を獲得したが、わたしが知りたいのは何が真実なのかということだ。

(Dana Blankenhorn)

※このエントリはZDNetブロガーにより投稿されたものです。朝日インタラクティブ および ZDNet編集部の見解・意向を示すものではありません。

SpecialPR

  • ビジネスの継続的な成長を促す新たなITのビジョン

    多くの企業においてITに求められる役割が、「守り」のコスト削減から「攻め」のビジネス貢献へとシフトしつつある。その中でIBMが提唱する新たなビジョンEnterprise Hybrid ITとは?

  • デジタル変革か?ゲームセットか?

    デジタルを駆使する破壊的なプレーヤーの出現、既存のビジネスモデルで競争力を持つ
    プレイヤーはデジタル活用による変革が迫られている。これを読めばデジタル変革の全体像がわかる!