Microsoftの苦悩に反して,Aberdeen Groupの発表したレポートによると,セキュリティがもっとも弱いOSはWindowsではなくLinuxだという。今年に入ってから10カ月間に米国のセキュリティ機関CERTが発行したセキュリティ警告情報「security advisories」のうち,半分以上がLinuxやオープン・ソースのソリューションに関するものだと指摘する。このレポートはWindowsのような独自のソフトはオープン・ソースよりもセキュリティ面で劣るという考えに一石を投じる。また,別の部分には独自UNIXについても同じ期間にLinuxと程度の報告があるという。ということは,現在メジャーなOSの中でWindowsがもっともセキュアなOSということになるのだろうか?

 このレポートでは,「多くのLinuxやUNIX,ネットワーク機器,それにオープン・ソース・ソフトウエアが,IT購買者にセキュリティの脆弱性を広げてしまう大きな原因となっている。2002年に入って10カ月間に報告されたsecurity advisories29件のうち16件と,実に2件に1件がオープン・ソースとLinux関連となっている。同時期にMicrosoft製品に関して報告された脆弱性は7件で,約4件に1件となっている」と報告している。

 この衝撃的なレポートは,世間で広く受け入れられている常識に対し,いくつかの点でくってかかっている。具体的には「まず,Windowsをターゲットとした“トロイの木馬”攻撃のピークは2001年で,このときにCERTは6件の報告をしているが,今年に入ってから終息しており1件も警告を発していない。これに対し,LinuxやUNIX,オープン・ソースに対するトロイの木馬攻撃は2002年に入ってから2001年の2倍に急増している。これは,一般に報じられる内容に反して,LinuxとUNIXが他のOSよりもトロイの木馬攻撃を受けている傾向にあることを示しており,UNIXベースのMac OS Xも当然同様の脆弱性をもっている。もっとも問題なのは,ルーターやWebサーバー,ファイアウオールといったインターネット接続用機器に使われているオープン・ソースのソフトウエアである。これらの機器やソフトウエア製品を使っている状況は侵入者に権限を奪われる“不幸の運び屋”といえる」と指摘する。

 さらに,「6つの脆弱性に関しては独自製品を開発しているベンダーよりも速やかに改善しており影響は小さい,とオープン・ソースのコミュニティは主張している。オープン・ソースを使ったハードウエアやソフトウエアは,製品の出荷前にもっと厳しいセキュリティ・テストをする必要がある。多くのLinuxディストリビューションには最近のWindowsで提供しているような自動更新の技術が欠けている点で特に問題が大きい」としている。

 セキュリティ・ポリシーなどに関してMicrosoftのことを非難するのは簡単だ。しかし,多くの人々やシステムが競合製品よりもMicrosoftのソフトウエアを使っているのも事実である。Windowsと同じくらいのユーザーやシステムで使われるようになるまで,LinuxでWindowsと同じくらいのセキュリティを実現するのは困難なのではないか。Windowsほど普及していない現状では,Linuxに関するセキュリティ報告が増えることは明白だ。