複数のニュース・メディアが4月第4週に,イスラエルBeyond SecurityのSecuriTeam部門に所属しているMatthew Murphy氏が「セキュリティ・ホールの情報開示が不十分」としてブログ記事で米Microsoftを叩いた件を取り上げた。Murphy氏の不満は,Microsoftのセキュリティ情報「MS06-015:Windows エクスプローラのぜい弱性により,リモートでコードが実行される」に関係する。簡単に書くと,Murphy氏はMicrosoftにもっと多くのセキュリティ・ホール情報を出してもらいたいと思っているのだ。

 Microsoftによる情報開示のやり方について,多くの人が「セキュリティの問題を秘密裏に修正するかどうかの境目にある」と考えている。かつてMicrosoftがこっそりとセキュリティ問題を直したり,こうした問題の影響を誤って伝えたりしたことは,秘密でもなんでもない。Microsoftやその他多くの企業は,セキュリティ問題の公表を嫌う。そのため,できるだけ静かにして,その件が目立たないように行動する。

 企業が情報開示の方針を自由に決められるとはいえ,すべてのセキュリティ・ホールの詳細情報を公表している企業がごくわずかであるという事実は,あまり喜ばしい話ではない。たとえば米Apple Computerはセキュリティ上の問題を黙って修正し,詳しい情報をあまり発表しない。それなのにセキュリティに関心を持つ人々は,AppleとMicrosoftとでは異なる態度を取ることが多い。

 Microsoftがセキュリティ・パッチをリリースすると,多くの独立系研究者はパッチを分析し,関連するファイルにどのような変更が加えられるかを洗いざらい調べる。公表されていない動作を見つけた場合,研究者たちはMicrosoftを呼びつけるか,なんらかの理由で口を閉ざすか,どちらかの対応を取る。口を閉ざすのは,そのセキュリティ情報に記述されていないバグが該当パッチ未適用のシステムに存在し,悪用される可能性がある場合である。そのパッチが実質的にマルウエアの拡散を手助けすることになり,セキュリティ侵害の全体的な危険性が増すからである。

 もちろんMicrosoftの情報開示に関する実績は,何年もかけてよくなってきた。しかし,まだまだ改善の余地はある。特に,Microsoftが多くの人に「Trustworthy Computing(信頼できるコンピューティング)」というスローガンを受け入れてもらいたいと望むのなら,さらなる改善が必要だ。

 われわれは,情報開示が「諸刃の剣」であるという昔からある問題にもぶつかっている。多くの企業や研究者が,セキュリティ・ホールの情報を開示するタイミングについて信頼できる情報開示の方法を決めたが,論争にはもう1つ別の重要なポイントが残っている。Microsoftなどの企業は,過剰な情報開示がネットワーク環境の危険性を高めると主張する。ところが多くの研究者は,不十分な情報開示がネットワーク環境の危険性を高めると強く主張する。この状況が均衡を生み出すことは明らかで,筆者は現在バランスが取れていると考える。しかしこのバランスがどちらか一方に傾き過ぎると,リスクが高くなる。

 話題から少し外れるが,興味深い考えを紹介しよう。ソフトウエアの形態が,サービスやオンデマンド・アプリケーションであることが当たり前になったとしよう。パソコンやサーバーには,OSや多種多様なアプリケーションをインストールせず,あらゆる処理を,すべてユーザーの管理下にない遠隔地からロードする何らかのハードウエア・ベースの技術で済ませる,というシナリオである。こうした状態になれば,セキュリティを管理できるのはサービスを提供するベンダーだけになるので,セキュリティ研究,セキュリティ管理,情報開示の分野における多くの論争に終止符が打たれるのではないかと筆者は考えている。