 |
 |
記事検索 |
イベントレポート |
|
||||||||||||||||||
|
||||||||||||||||||
|
||||||||||||||||||
|
||||||||||||||||||
|
||||||||||||||||||
|
マイクロソフトやLinuxベンダーらが「OSのセキュリティ徹底討論」 |
||||||||||||||||||
|
||||||||||||||||||
|
|
||||||||||||||||||
|
||||||||||||||||||
|
||||||||||||||||||
|
||||||||||||||||||
|
||||||||||||||||||
|
||||||||||||||||||
|
||||||||||||||||||
|
東京ビッグサイトで開催中の「第2回情報セキュリティEXPO」では6月29日、「OSのセキュリティ徹底討論」と題したパネルディスカッションが行なわれた。WindowsやLinuxを提供するOSベンダーに加え、システムインテグレーターらを交えて議論した。 出席者は、マイクソフトの吉川顕太郎氏(ビジネスマーケティング戦略本部セキュリティ戦略グループマネージャ)、NTTコムウェアの竹川直秀氏(OSS推進部担当部長)、富士ゼロックスの吉田武央氏(オフィスサービス事業本部ブロードバンド事業開発部情報通信システム部兼務プロジェクトマネージャー)、情報処理推進機構の福澤淳二氏(IPAセキュリティセンター情報セキュリティ技術ラボラトリーラボラトリー長)の4人。司会は慶應義塾大学環境情報学部の武藤佳恭教授が務めた。 ● Windows、Linuxともにハイリスクな脆弱性は減少傾向
Windows XPとLinuxを比較すると、1年以上前の脆弱性では圧倒的にLinuxが多いが、その後はいずれのOSとも大幅に脆弱性を修正していた。武藤氏は「Windowsというと脆弱性が多いように言われるが、マイクロソフトは多額の開発資金を投入しているだけに、初期の脆弱性の数はLinuxよりも圧倒的に少ないと言える。Linuxは脆弱性の数は多かったが、世界中の開発者が携わっており、その後は劇的に修正しているようだ」と分析した。 脆弱性のタイプ別では、バッファオーバーフローが1,395件でダントツの首位。次いでフォーマットストリングが180件、「最近増えてきている」(武藤氏)というメタキャラクターが162件、クロスサイトスクリプティングが100件だった。この順位を明らかにする前に、武藤氏が会場に「順番のわかる方」と質問する場面もあった。話を振られたIPAの福澤氏が首位のバッファオーバーフローを回答し、会場の参加者が2位のフォーマットストリングを正解した。武藤氏は「こうした順番がわかっているということは、問題の起因もわかっているということ」とコメントし、脆弱性対策に活かしてほしいと述べた。 なお、世界中の情報セキュリティ専門家が集まるイベント「ブラックハット」の国内プロデューサーも務めている富士ゼロックスの吉田氏は、「Windowsだけでなく、広く知られているOSであればウイルスやクラッキングに狙われる可能性はある」とコメント。クラッキングをする立場としてはソースコードが公開されている方がやりやすいという。ソースコードが公開されていないWindowsは、ソースコードを推測してクラッキングするしかない。その一方で「何か問題が発生した場合は、ソースコードが公開されている方が修正も早いのではないか」とも述べた。
● ソースコードを扱える開発者はごくわずか
また、Windowsのソースコード自体を扱える部隊はCPR(Critical Problem Resolution)チームとして5名のスタッフを配している。吉川氏は「ソースコードを見られるということはとても高度な技術だ。マイクロソフトでは専用のトレーニングを行ない、コード自体にもドキュメントが付属するが、とんでもない大量のコードから目的の部分を抜き出すことだけでも難しい」という。 一方、Linuxなどオープンソースソフトウェアを推進するNTTコムウェアの竹川氏は「Linuxのソースコードを扱える開発者は、残念ながら社内にはほとんどいない。NTTグループが出資しているベンチャー企業には5人ほどソースコードを扱える開発者がいる」という。NTTからも開発者を出向させているが「1年では完全に習得できなかった」。しかし、「2年いると帰りたくない。開発者としての市場価格がものすごく高くなるからだ。MBA程度ではない」という。武藤氏もこれに同調し「年収5,000万円は堅い」と会場を笑わせた。 ● 「多層防御」を実現できないWindows
Mundie氏はMicrosoftの推進する「Trustworthy Computing」の取り組みを最初に指揮した人物だ。吉川氏は「彼は本当にそう言ったのだと思う。ネットワーク環境が発達するなど、Windows 98/95がリリースされた時とは情勢が変わってしまった。Windows XPまでに実現したファイアウォールなどのセキュリティ技術をWindows 98/95に全て実装するのは不可能だ」とし、Windows 98/95単体ではマイクロソフトのセキュリティコンセプト「多層防御」を実現するのが難しく、ファイアウォールなど複数の対策を別途組み合わせてセキュリティを高める必要があるとコメントした。 とはいえ、経済的な理由もあり、全てをWindows XPに入れ替えるのは難しい。竹川氏はLinuxを用いたシンクライアントのシステムを推奨。また、吉田氏は「Windows 98/95はプライグイン関連がWindows XPに比べて劣っているので、CDブートで起動するシステムを構築すればむしろ安全なのではないか」との見解を示した。Windows 98/95やMS-DOSのオープンソース化も要望した。 ● Linux対Windowsのような“空中戦”ではなく、地に足の着いた議論を 吉川氏は「セキュリティは運用管理が重要。脆弱性だけでなく、ベンダーや顧客などユーザーはそれぞれに問題点を抱えている。ユーザーに即したセキュリティ対策をしなければならない」と指摘。「現実には、オープン対クローズド、Linux対Windowsのような“空中戦”ばかりが目立つ。本来は、ユーザーに対して必要な情報を日本語で提供しているかどうかなど地に足の着いた議論をするべきだ」と述べた。吉川氏は最後に「タバコ産業はタバコの危険性を、薬品業界も使用上の注意をCMやパッケージに明記している。まだまだ成熟していないIT業界だが、今後はユーザーの痛みに即して情報提供するするべき。業界としての立ち位置を確立するためにも、セキュリティの問題は重要。責任範囲を指定するように情報を伝達する必要がある」と述べた。 関連情報 ■URL 第2回情報セキュリティEXPO http://www.reedexpo.co.jp/ml/as2/i-security/
( 鷹木 創 )
- ページの先頭へ-
|
