「オープンソースの方が安全」：トレンドマイクロ、ソフトウェアセキュリティを評価

　ウイルス対策ソフトウェアベンダーのTrend Microによると、オープンソースソフトウェアは、「Microsoft Windows」のようなプロプリエタリなソフトウェアよりも本質的に安全であるという。

　同社によると、オープンソースソフトウェアにセキュリティ上の問題が少ない理由の１つはLinuxのディストリビューションの多さにあるという。同じカーネルを使っているからといって、あるディストリビューションを脅かした悪質なソフトウェアが、別のディストリビューションも脅かすという可能性は少ない、とTrend Microは米国時間6月12日に述べた。

　「オープンソースの方が安全だ」と言うのは、同社でマルウェア対策を担当する最高技術責任者（CTO）のRaimund Genes氏だ。「コードベースの管理者が多いのは、脆弱性に即対応できることを意味する。またそのディストリビューションの多さから、古いコードに関する問題もさほど多くない」（Genes氏）

　Genes氏によると、オープンソースの開発者同士は「セキュリティについてオープンに話し合う」ため、パッチが「即刻、つまり何か起きればすぐに」用意される。一方で、コードを公開しないプロプリエタリなソフトウェアメーカーは自分たちのリソースだけを頼りにパッチを開発しなければならない。

　しかしGenes氏は、Linuxサーバも「真の安全性」を確保するための対策は必要で、デフォルトのセキュリティ設定を変えなければ安全に使うことはできないと言う。

　LinuxベンダーRed Hatのセキュリティ対策チームのMark Cox氏は、Linuxコミュニティーはセキュリティ関連の知識を共有しているということについては同意するが、Linuxのディストリビューションが初期設定の状態では安全でないとする意見には異論を唱える。

　「われわれはノウハウを上流に常にフィードバックすることで、Linuxカーネルの利用者すべてが利用できるようにしている」とCox氏。「Red Hat製品にははじめからSELinuxというファイアウォールが設定されている。つまり、デフォルトでセキュリティ対策がされており、それを強化することもできる」（Cox氏）

　Cox氏は、オープンソースとプロプリエタリなソフトウェアのセキュリティ上のメリットを比較することには消極的だったが、Linuxは深刻な脆弱性からさほど影響を受けないと語った。

　「ソースがオープンかオープンでないかは、実は何の違いも生まない。問題は、そのソフトウェアがセキュリティを考慮して設計されているかどうかだ」とCox氏。「10年前に、バッファのオーバーフロー対策としてApacheが開発され、成功した。Linuxにはさほど多くの重要な脆弱性が発見されていないため、Linux用のワームを書くのはより困難だ。また、ディストリビューションの多さが、ワームの開発をさらに困難にする」（Cox氏）

　一方で、オープンソースコミュニティが今後のLinuxの脆弱性を防ぐための技術を開発しない限り、過去の実績が未来の安全性を保証するわけではないとCox氏は警告する。

　また、オープンソース、プロプリエタリの両ソフトウェアの安全性を測るための規準を作ることが重要だと、同氏は言う。例えば、セキュリティ対策にかかる時間、脆弱性を公表する際の透明性、パッチの配備速度などだ。

　Genes氏の指摘では、MicrosoftはVistaの開発においてセキュリティ問題への取り組みを始め、その一部は管理者アクセスを制限することによって行われている。

　「Microsoftは正しい方向に向かっている。同社は今、UNIXが採用したアクセス制限を推進している。ルートでUNIXを使おうとは誰も思わない」とGenes氏は言う。