あなたはLinuxがWindowsよりも安全であるとか,その逆であるとかを明らかにすると主張するレポートや関連するニュース記事を数多く目にしたことがあるだろう。今回はそのような記事やレポートについて考察したい。
最近のニュース記事で「WindowsはLinuxより安全という論議を呼ぶレポート」というものがある。Florida Institute of Technology's College of Engineeringの教授とセキュリティ技術提供会社の研究担当ディレクタによってまもなく公開されるレポートのことを論じている。このレポートはWindows Server 2003とRed Hat Enterprise Linux ES 3.0を比較する予定だ。ご想像の通り,このレポートは公表前なのに既に論争を引き起こしている。
LinuxとWindowsには多くのバージョンがある
こうした類いの比較レポートや関連するニュース記事には問題がつきものだ。
1つの問題は,知らない人々に誤解を招くほどにメディアが拡大解釈することだ。例えば,Windowsに複数のバージョンがあるように,Linuxにも複数のバージョンがあることを知らない人もいるだろう。多くの組織が自分たちのブランドをつけたLinuxを生み出していて,長い間にはこうしたブランドも新バージョンでアップデートしている。「WindowsはLinuxより安全」という言い方は,無意味なほど広い範囲を指している。
比較レポートに関するもう1つの問題は,適切な文脈を欠いていることだ。研究者たちはどんなOSであれアプリケーションであれ,それを使う場合のリスクに重大な役割を持つ要素に,気が付かないことがよくあるようだ。
前提条件が明記されていない
今回のニュース記事によると,研究レポートは(他の情報に加え)2004年を通して各プラットフォームに見つけられた弱点に関する統計をカバーしている。こうした種類の情報は,確かにあるOSの総合的なセキュリティを判断する役には立つが,こうしたレポートでは,文脈としてほかのデータが不可欠である。そのデータは,例えばこういう質問への答えでなければならない。「セキュリティ上のバグを探しているセキュリティ研究者は何人くらいいて,どういうタイミングでバグを探したのか?」「その人たちが調査したのはOSのどのバージョンなのか?」「そういう作業にその人たちはどのくらい時間をかけたのか?」「その人たちの能力はどの程度なのか?」。そして,「自由に使えるツールは何か?」
どう考えても,1つのプラットフォームでセキュリティ問題を探すために費やす全時間が短ければ,そのプラットフォームから見つけられる問題は少ない可能性が高くなる。同様に,1つのプラットフォームで問題を探すのに費やす時間が長ければ,そのプラットフォームから,より多くの問題を発見する可能性は増す。
アプリケーションも,プラットフォームのセキュリティの中では重大な役割を果たす。だからアプリケーションの弱点と,それらが全体のセキュリティにどう影響してきたかに関してデータが集められるはずだ。
セキュリティの強さは設定やツールの利用で変わる
同様に大事なことは,たとえ重要ではないにしても,侵入者や不正ソフトの作者たちを動機付けていることは何かという疑問だ。「こうした人々は,どのくらい時間をかけたのか?その人たちが一番よく狙う目標は何で,なぜなのか?」ということだ。
別に興味がある疑問は,引き合いに出された弱点のうち,どのくらいが設定変更や配備済みの防御策を使って和らげられるかということだ。例えば,単純な設定変更や,外部ネットワークとの境界またはデスクトップに設置したファイアウオールやIPS(侵入防止システム)は,特定の弱点から適切に身を守れただろうか?
私が知っているどんな比較レポートでも,この手のデータは何一つ提供されていない。しかし,セキュリティを比較する目的で研究する場合,こうした質問をすべて考慮しなければならない。なぜなら,このようなデータこそ,OSや関連サービスやアプリケーションなどを使うことに,どのくらいのリスクが含まれるかに関して,今よりもずっと完璧な絵を提供するからだ。より広い内容を提供するデータがなくては,こうした比較レポートは作成元やマスコミが示唆するほどの役には立たないのだ。
