これは, linuxtoday に掲載された論説 `Fixing Security Hole on Internet Time' からの全訳. 原文はこちら
私がもっともおかしいと感じたのは, しかし, この問題自体ではなく, それに対する反応だった. Microsoft のプロダクトマネージャ Jason Garms の, eEye についての発言をよくみてみよう.
「我々が, この問題について, 手をこまねいている, という見方は, 誤っていると, 断固として申し上げたい. しかし, 今回の問題を解決するには, 少なく見積もって 2週間が必要だ」 また, eEye のプログラムは, 「技術的なバックグラウンドを持たない人物であっても, IIS を使っているサ イトに攻撃をかけることを可能にした」と Garms は言う.
ここには, 注目すべき事実の歪曲がある. これらの eEye に関する話を聞き, その無責任さを耳にすれば, eEye というのはインターネットのテロリストみたいに思えて来るだろう.
とんでもないことだ.
上で描かれた画の何がまずかったのか?それでは説明しよう. 問題になっている会社が間違っているのだ. よく読み直してみよう. そして, じっくり自分で考えるのだ. 誰が, 「シロウトでも web サイトを攻撃できるようにした」のか?
他でもない. Microsoft である.
しかしながら, これが本稿のテーマというわけではないのだ. 私が, Garms 氏や, Microsoft について本当に言いたいことは, 今回のセキュリティホールを塞ぐのに, 「どう見積もっても 2週間はかかる」 といった時間の方なのだ.
セキュリティ パッチが 2週間待ちだって? この問題は, もっと考察する必要がある.
あなたが, 大きな企業あるいは, 政府関係機関で, デリケートな情報を扱う web サイトを運営しているとしよう(*). あなたのサーバは, 攻撃に対して無力だ. 信用していたサーバのセキュリティホー ルが見付かってしまったのだ.
そこで, 次の選択肢を迫られる.
これで問題は全部というわけではない. 他にも, 次のような問題がある.
Microsoft は, セキュリティの問題をすり替えようとしている. 彼等は, 自分を棚にあげて, eEye を思慮に欠ける存在として描き出した. しかし, セキュリティを確保する方法は, 他にもあるのだ. この方法は, Microsoft のお気に召すやり方ではないかもしれないにせよ, 何週間も待たずにセキュリティ対策を講じることが出来ることが証明されている. しかし, Microsoft からは, この新しい手法への転換については, 何の発表もない. しかし, きたるべき惨事に備えて, 本当に無思慮なのは誰か, ということは, 明らかにしておいたほうがいい.
なにしろこのセキュリティホールは法外にでかい. 穴がでかすぎで, トラックで通り抜けられるくらいだ. インターネットのサーバのうち, 1/4 が, この穴あきサーバを運用しており, どれも `madness' のようなインターネットワームによって, 100万分の1秒で ダウンさせることができる, ということは, とりあえず忘れよう. 我々は, 孤立したプログラマの集団が, パッチを作成するまで, 2週間待たされ る. しかし, 違った製品開発手法を使うならば, そんな穴は2週間なんて言わず に, 数時間のうちに塞ぐ事もできる, ということも忘れよう.
さっきから私が言っている, 新しい製品開発モデルとは何か? 言うまでもなく, Open Source Software (OSS) である.
何がそんなに優れているのか? それでは, 順に見てゆこう.
OSS 製品にセキュリティホールが見付かった場合, そこに一挙に多数の人々の注目が集 まる. 製品開発のリーダーが何かしたというわけではなく, 修正の必要に応じて自然に起きる現象だ. OSS製品に関連して作業している人々は, その製品(作品?)に関して, 大いなる誇りを持っているし, また, 多くの人々もその製品に注目している. したがって, 欠陥の修正は, `Microsoft 時間' ではなく, `インターネット時間' で行われるのだ.
OSS製品は一般的にいって, 排他的な商用の製品よりも優れたセキュリティを持っ ていると言える. たとえば, teardrop アタック(***)の場合を考えてみよう. teardrop アタックは, Linux にも Windows にも通用する攻撃だった. Linux では数時間でこれに対抗する修正がなされた. 修正は, Linux に関してはおおむね良好で, 問題はほぼ解決されたが, Windows で行われた修正のほうは, 別の似たような手口には無力だった. この違いが生じたのはなぜか? それは, おおむね次のような理由による. すなわち, パッチのソースコードが, ピア レビューされていない, つまり, 十分に数多くの専門家のチェックをうけていないからだ.
今回の事件の背景も, これと同じだ. 沢山の, 色んな人達がソースコードをチェックすることで, 明らかな欠陥は直すことが出来るし, 潜在的な問題も, 手に負えなくなる前に突 き止めることができる.
OSSの活動では, 会社の評判なんか気にする必要は無い. Red Hat や Debinan あるいは FreeBSD その他の OSS製品に セキュリティホールがあると判っても, 誰も損害を被るわけではない. だから, セキュリティホールを認め, 対策を講じる事に対するためらいは, 全く 無い. 欠陥を発見した奴の悪口を言う必要もない. なぜなら, セキュリティホールに関して言えば, 守るべきものなど無いからだ. 更に言えば, 金銭的な争いも発生しない.
OSS 関係者は, 自分たちの製品に誇りを持っているというだけでは 十分ではない. 私はその理由を, それら製品の金銭的な対価を要求しないからではなかろうか, と推測している.
これは, 最高のサポートには, 企業の後押しが必要だという 昔の考え方からすれば, 逆に思えるだろう. しかし, こういう発想は現在, インターネットに関連する問題から, 正面切って挑戦を受けているのだ. セキュリティ問題は, その一つである.
Microsoft は, これに注目すべきだと私は考える. なぜなら, セキュリティは, ネットワークにおいては当り前に手に入るものでは ないからだ. 沢山の人達が, この問題に関して真剣に取り組んでいる. Microsoft は, 現状の開発形態を維持したいと願うかも知れない. ビジネスを成功させるには, これしかない, とさえ思っているかも知れない. しかし, その考え方には, 純粋に利己的な視点しか存在しない. つまり, 顧客の立場というのは, 全く無視されているように見える.
会社によっては, その生命を Internet に賭けているところもある. セキュリティは, タダじゃない. そして, Microsoft は, 自分の収入を確保する方が, 自分の顧客の収入を保証す るよりも重要だ, と主張しているように見える.
Microsoft が eEye に関して慌てふためいているのは, おそらく, 彼等がソースコードを公開した, その思想が我慢できないからなのだ.
沢山の人々が, free software のセールスポイントとして, その値段をあげつ らった. 彼等は, free software が商用ソフトよりも安いので, 成功するだろ うと考えた. たしかに free software では, ユーザがサービスを享受するにあたって, 集金したりしない.
しかし, Internet のセキュリティに関して言えば, そうした意見を持つ人々は, 真実を見逃している.
今回のセキュリティホールと, 見当外れの非難は, インターネットの重要性と一般性が一方的に増大していく時代において, 真のセールスポイントとは何か, という問題を浮かび上がらせた. Microsoft の収入なんかが問題なのではない. Microsoft 製品に依存している企業の収益こそが問題なのだ. それこそ, 膨大な金額にのぼるだろう. Linux や FreeBSD といったシステムが提供するセキュリティを 考慮するに十分足りる金額ではないだろうか.
もし, あなたの会社の web サーバが, 何らかの収入に関わっているのであれば, 次のような重要な問題も考慮すべきだろう.
セキュリティホールが塞がるまで, 2週間も待っていられるのか? 他にもきっとあるに違いない, 未発見の欠陥を調査することができるのか?
今回のセキュリティ問題に関して, OSS 製品と排他的な商用の製品でどちらのサポート形態が劣っているか? あるいは, これがサポートの問題でもなければ, 重要なものでもないというのなら, そりゃ一体何なのか?
こんな状況で, Open Source Software 以外の選択肢があるかどうか, 考えてみ れば良い. 答えは自明だ. こうしているあいだにも, あなたが迷っているうちに, まさに Internet 時間で cracker やら競合他社やらが, おいしいところをさらって行くのだ.
商用ソフトの価値は, あなたが思っているよりも, ずっと高くつくかもしれない.