ソフト開発者が造った飛行機には乗ることができない--オラクル幹部がパッチ偏重を批判

　Oracleの最高セキュリティ責任者（CSO）が、ソフトウェア業界にはバグの多い製品を販売するメーカーがあふれており、「ソフトウェア開発者が製作した飛行機には乗ることができない」事態に陥っていると発言した。

　同社のCSOであるMary Ann Davidson氏は「大半のソフトウェア開発者が、安全性やセキュリティ、信頼性といった観点に基づいて思考する訓練を受けていない」と、業界の現状を酷評した。開発者は「パッチに次ぐパッチ」をリリースするという風潮に慣れきっていて、ソフトウェア市場を危険にさらしているという。

　「ソフトウェア開発者がコードを記述するのと同様の方法で、建築業者が橋を建造したらどうなるだろう。おそらくは、朝一番に高速を走っている途中で、『死の青い橋』に出会うことになるはずだ」（Davidson氏）

　米国時間5月25日、スコットランドのエジンバラで開催された「WWW2006」カンファレンスに出席したDavidson氏は、ソフトウェアおよびセキュリティ業界が抱える問題について、幅広く言及した。

　同氏によれば、現在はソフトウェアの信頼性や安全性の低下を食い止める努力が必要であり、業界は転機を迎えているという。

　「今や、CEOの職にある人たちが、ソフトウェアアシュアランスという点において、ベンダーから購入している製品は許容範囲を超えているという不満を訴えている」と、Davidson氏は現況を説明した。

　ソフトウェア業界の状態はかなりひどい有様で、「国家的な安全問題」（Davidson氏）にまで発展しており、現在では業界を規制することも検討されているとDavidson氏は述べる。同氏は、「わたしは先頃、CSO Councilに参加しているCSOを対象に非公式なアンケートを実施したのだが、彼らの多くは、ソフトウェア業界に規制を設けることが必要だと考えていた」と述べた。

　だが、そうした規制が設けられたとしても、それは業界の自業自得だと、Davidson氏は言う。

　「ソフトウェア業界は、当然ながら規制を歓迎しないだろう。しかし、規制されたくなければ、よい仕事をするようみずからを律しなければならないのである」（Davidson氏）

　また同氏は、「ハッキングを招く思考構造」や、「100万ドルに達するほどの被害をもたらす」実証コードが「多くのカンファレンスで安易に公開され」、悪用されている現状も批判した。Davidson氏によれば、ただソフトウェア業界に従事する人と、「安全性、セキュリティ、信頼性を考慮するよう訓練を受けた」エンジニアには、大きな差があるという。