Q5セキュリティ面で安全性が高いというのは本当ですか
 
 
 セキュリティに関しては、大きく2つの考え方があります。「秘密を守ることで安全性を保とう」とする考え方と、「情報を公開することで安全性を高めよう」とする考え方です。オープンソース・ソフトでは、後者の「情報を公開することで安全性を高めよう」という考え方を採ることになります。

 オープンソース・ソフトがセキュリティが高いと言われるのは、俗に「目の数」と呼ばれる効果に期待する面が強いためです。ソースコードに間違い(バグなど)があったり、予期せぬセキュリティホールが含まれていた場合でも、ソースコードが公開されていることで多くの技術者がその状態を正確に把握できるし、修正も迅速に行なわれる傾向があります。つまり、問題が生じた場合でも素早く対処が行なわれることが期待できるというわけです。

 一方、ソースコードが公開されていない独自ソフトウエアの場合、メーカーが修正する以外のセキュリティホールやバグへの対処は行なわれないのが普通です。このため、情報の流通とその後の対処の両面でオープンソース・ソフトよりも対応が遅くなる傾向があります。

 どちらもそれぞれセキュリティホールが発見されていたり、バグが見つかったりはしていますが、やはりオープンソース・ソフトの方がパッチやバグフィックスが提供されるまでのタイムラグは短い傾向があるようです。ただし、広く普及していないマイナーなオープンソースソフトの場合、「目の数」も当然少ないわけで、必ずしも対応が早いとは言えません。

 また、オープンソースソフトで脆弱性が見つかった場合には、その情報も広く流通するので、放置して置いた場合には攻撃される危険が高まるという側面もあります。つまり、運用者がセキュリティ情報に注意を払い、報告された弱点については迅速に対処しないと被害は広がりやすいという側面もあるわけです。ソフトウエア自体の安全性もさることながら、やはり運用面での対処が最も重要です。つまり、「オープンソース・ソフトは安全なので、セキュリティ対策は甘くてもよい」などということには絶対ならないということです。

<関連リンク>
David A. Wheeler『なぜオープンソースソフトウェア/フリーソフトウェア(OSS/FS)なのか? この数字を見よ!:セキュリティ』(比屋根一雄・訳)
(三菱総合研究所「オープンソースと政府」、2002年8月20日)
「Linuxプラットフォームは安全なのか?」
(BizTech Special「Linuxソリューション」、2003年5月30日)
もっともセキュリティが弱いOSはLinux,Aberdeen Groupがレポート
(ITPro、2002年11月27日)

 
LINE