Apple Computerのセキュリティに関する実績を評価すれば、きっと優等生の通信簿のようになるだろう。つまり「成績は良い、だが周囲の人ともっとうまくコミュニケーションを取る必要がある」ということだ。
一般的に言って、Macのオペレーティングシステム(OS)に見つかったバグの数は、Windowsに比べてはるかに少ない。しかし、一部の人々は最近見つかった脆弱性を指して、口が堅いことで悪名高いAppleに対し、セキュリティ問題についてもっとオープンに外部とコミュニケーションをとり、またもっと迅速にセキュリティホールを修正しなくてはならないと述べている。
「Appleは、自社のソフトウェアに問題が見つかった場合、もっと素早く対応すべきだと思う」と、サンディエゴのSalk Institute for Biological Studiesでシステム管理者を務め、また自らもMacユーザーであるChris Adamsは述べている。同研究所は、5人のノーベル賞受賞科学者の育成に関わった名門の研究機関だ。「何カ月も完全に沈黙を続け、その後アップデートをリリースすると簡単な発表を行なうというのが、彼らの一般的パターンだ」(Adams)
AppleがMac OSのアップデートを行ない、さまざまなUnixコンポーネントに見つかったセキュリティホールを修正している点は高く評価できる、とAdamsは言う。しかしAppleに必要なのは、セキュリティに関して同社が何をしているのかをもっと周囲と話し合うことだ、とAdamsや他の人々は主張している。
「同社は最低でも、問題を報告した人たちとコミュニケーションを取り、その問題への対応を進めていることを明らかにする必要がある」とAdamsは電子メールでのインタビューで答えている。「問題の種類にもよるが、もし修正パッチがすぐに提供できない場合には、その迂回法を発表するのもよい考えかもしれない」(Adams)
Appleとセキュリティ業界とのコミュニケーションの問題が注目を集めるようになったのは、先月のことだ。研究者らが、悪用されるとハッカーにMacを乗っ取られてしまうという脆弱性の組み合わせを公表したが、そのなかの1人で「lixlpixel」として知られるプログラマーは、2月の時点でAppleにこの脆弱性の存在を知らせたが、同社から何の連絡もなかったため、5月になってこの問題を公開したと述べていた。
AppleシニアバイスプレジデントのPhil Schillerは、Macのセキュリティは大丈夫だと述べ、さらにMac OS Xが3年前にリリースされて以来初めて重大な脆弱性が見つかったことを受け、同社は綿密な調査を行なっていると付け加えた。
Schillerによると、Appleが5月に大急ぎで修正した問題は、同社が数カ月前に報告を受けた欠陥よりも重大なものだったという。
「2月に報告を受けたのは小さな問題で、大きな脅威になるものではなかった。この脅威の全体像が明らかになったのは、実際にはごく最近のことだ」(Schiller)
IT業界には、セキュリティの脅威を見つけた研究者に対して、製品を開発したベンダーへの通知後少なくとも30日間を経てから、その問題を一般に公表するよう求めるガイドラインがある。だが、Schillerによると、Appleは独自のプロセスを使って、いつパッチをリリースするかを決めており、このプロセスでは、見つかった脆弱性の与える脅威についてのAppleの評価を考慮に入れているという。
Appleは一部の問題を修正するパッチをリリースしたが、ただし研究者らはMac OS Xが依然として脅威にさらされていると述べている。
このほか、Appleのセキュリティ問題への対応ぶりを非難する者のなかには、同社のコミュニケーションのやり方に問題があるとする意見もある。たとえば、Appleは自社のウェブサイトをつかって、もっと詳細な情報を提供すべきであり、またバグ報告専用の電子メールアドレスも用意すべきだという声もある。だが、Schillerによれば、両方ともAppleがすでに実施していることだという。セキュリティに関する懸念については、"product-security@apple.com"というメールアドレスで対応しており、また同社はウェブサイトに情報を掲載している。だが同氏は、こうした点を知らない人が多いことや、同社には改善の余地があることは認めている。「われわれは、やるべきことを実際にたくさんやっている。だが、それに気付かない人もいる」(Schiller)
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス