［CRYPTO-GRAM日本語版］OpenDocument形式とマサチューセッツ州

2006.01.19

Bruce Schneier　

「CRYPTO-GRAM　December 15, 2005」より

　OpenDocument Format for Office Applications（ODF）は，米Microsoftの文書やスプレッドシートなどで使われているファイル・フォーマットの代替フォーマットである。

　ODFそのものは大したものではない。独自のOfficeファイル・フォーマットを持つMicrosoft社が「どうもODFにはセキュリティ上弱い部分がある」とのうわさを広めている，ということを除けば。

　これが，Office文書に任意のVisual Basicプログラムを埋め込めるようにした企業の行為だろうか？

　確かに，ODFにはスクリプトを埋め込む方法が存在する。この点こそ，Microsoft社が指摘している問題のようだ。しかし，少なくともODFはクリーンかつオープンなXMLフォーマットを採用しているため，階層的なセキュリティが実現可能で，必要に応じてスクリプトを削除できる。Microsoft社のバイナリ・データによる文書フォーマットでは，埋め込んだプログラムをうまく隠せるので，ODFで可能なこうしたセキュリティ対策の実施がはるかに難しい。

　Microsoft社の主張の内容は「オープンなODFのセキュリティは，独自開発されたOfficeフォーマットに比べ本質的に低くなる」というものだが，これは「ものごとを隠すことでセキュリティを確保する」という主張と実は同じだ。ODFは，現在のMicrosoft Wordの文書フォーマットである.docやそのほかの独自フォーマットと比べ安全面で劣ることはない。少なくともわずかな程度は，安全性が高い可能性がある。

　このことについて，ODFの関係者はうまいことを言った。「ODFを使うからといって，ほかの文書フォーマットよりもセキュリティのリスクが大きくなることはない。コードを操作できる余地が増えたり，コンテンツにアクセスしやすくなったりすることもない。セキュリティの問題は，文書フォーマットではなく，情報共有に基づいたポリシー決定によって解決される。プログラムの拡張機能（例えば，Office文書に埋め込み可能なVisual Basicによるマクロ）がセキュリティの脅威になることはよく知られており，評判が悪い。しかしこのことから，ほかのフォーマット仕様よりもODFのセキュリティが高いとか低いとかいった結論は導き出せない。ODFの仕様強化に取り組む多くの技術者は，拡張機能による弱点を緩和する技術も開発している」

　こうしたすべての事柄は，先ごろマサチューセッツ州が公式記録をODFで残すよう決定したことで加熱し，Microsoft社はいくらか取り乱した。Microsoft社がOffice文書フォーマット「Microsoft Office Open XML Format」を国際的な標準化組織Ecma Internationalに「オープン標準」として採択するよう提出したことと，マサチューセッツ州の決定が関係するかどうかについて，私は知らない。しかし，これも理由の一つであることは間違いないだろう。

ODF：
＜http://en.wikipedia.org/wiki/OpenDocument＞
＜http://www.oasis-open.org/committees/tc_home.php?...＞

ODFのセキュリティ：
＜http://www-128.ibm.com/developerworks/blogs/...＞

マサチューセッツ州の決定：
＜http://news.com.com/...＞
＜http://news.com.com/...＞
＜http://riskman.typepad.com/perilocity/2005/11/...＞

Microsoft社の行動：
＜http://www.microsoft.com/presspass/press/2005/nov05/...＞

◆オリジナル記事「OpenDocument Format and the Commonwealth of Massachusetts」
◆「CRYPTO-GRAM　December 15, 2005」
◆「CRYPTO-GRAM　December 15, 2005」日本語訳ページ
◆「CRYPTO-GRAM」日本語訳のバックナンバー・ページ

◆この記事は，Bruce Schneier氏の許可を得て，同氏が執筆および発行するフリーのニュース・レター「CRYPTO-GRAM」の記事を抜粋して日本語化したものです。
◆オリジナルの記事は，「Crypto-Gram Back Issues」でお読みいただけます。CRYPTO-GRAMの購読は「Crypto-Gram Newsletter」のページから申し込めます。
◆日本語訳のバックナンバーは「Crypto-Gram日本語訳」のページからお読みいただけます。
◆Bruce Schneier氏は米Counterpane Internet Securityの創業者およびCTO（最高技術責任者）です。Counterpane Internet Securityはセキュリティ監視の専業ベンダーであり，国内ではインテックと提携し，監視サービス「EINS/MSS+」を提供しています。