あるセキュリティ専門家が、Windowsオペレーティングシステムのほうが全体的な所有コスト(TCO)が少なくて済むという見解を発表した。ただし、この発表はMicrosoftが待ち望んでいたのとは、少し意味合いが異なるもののようだ。
著名なセキュリティ専門家で、脆弱性評価会社Immunityのマネージングディレクターを務めるDavid Aitelは13日(米国時間)にある論文を発表した。このなかで同氏は、コンピュータを「所有する」(own)--ハッカー用語でシステムを乗っ取ることを指す--のは、Windowsマシンのほうが簡単だと述べている。この論文には随所に駄洒落やジョークが盛り込まれているものの、中味のほうはWindowsのセキュリティを最近のLinuxと比較しながら真剣に論じたものだとAitelは述べている。
「Microsoft Windows: A lower Total Cost of 0wnership」というタイトルのこの論文は、Microsoftが助成金を出している典型的な調査レポートの体裁を真似たものとなっている。こうした助成金付きの調査のなかには、企業アプリケーションのうち5件に4件はWindowsで実装したほうがコストが安いと主張するIDCのものや、ある方法で脆弱性の脅威を調べるとLinuxのほうがWindowsよりリスクが高いとするForresterのものなどがある。ただし、Forresterの調査については、使用されたデータに対して疑問の声が多く上がっていた。
LinuxとWindowsを実際にハッキングした経験を持つ専門家が、両者のセキュリティの問題を検討した論文は、これまで発表されたことがなかった。
Aitelはこの論文の結論として、Microsoftは2年以上にわたって「Trustworthy Computing」イニシアチブのもとでWindowsのセキュリティ向上に努めてきたが、それでもWindowsコンピュータのセキュリティは、最近のLinuxコンピュータと比べて、簡単に侵害できると指摘している。なお、Microsoftはこの論文に関するコメントを差し控えた。
しかし、この論文には主張をサポートするデータがほとんど挙げられておらず、そのため長年続いているWindows対Linux論争に関して新たな見解を示しただけで、Microsoftに挑戦するものとなってはいない。
Immunityの研究者らは、Red HatのLinux「Fedora Core 2」ディストリビューションとWindowsを比較し、両者のなかにある脆弱性を見つけるのに要する平均時間をデータに基づいて計算した。その結果Fedora Core 2では約6日と、Windowsの場合の2倍以上時間がかかることがわかった。この理由について、Immunityの研究者らはWindowsには欠陥を見つけるための良いツールがあることや、Linuxではカーネルレベルの防護機能が優れていること、Windowsのほうが攻撃用のコードを実行できる既知のポイントの数が多いことなどを挙げている。
Microsoftは先ごろ、1年前に大流行したMSBlastワームへの対応措置として、Windows XPの大規模なセキュリティアップデートをリリースした。しかし、非実行可能フラグもしくは書き込み-XOR-実行ビットと呼ばれるPCプロセッサの主要なセキュリティ機能が普及するまでは、ほとんどのセキュリティホールが残ることになるとAitelは指摘する。このプロセッサの機能は、攻撃者によるコードを実行を防止するものだ。しかし、この技術を主要な製品に導入しているのは、いまのところAdvanced Micro Devices(AMD)だけである。なお、同社ではこの技術を「Enhanced Virus Protection(EVP)」と呼んでいる。
この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」