セキュリティ管理者が脆弱性の影響をベンダーに聞かなければ判断できない裏事情
今回は「セキュリティ管理者が脆弱性の影響をベンダーに聞かなければ判断できない裏事情」についてご紹介します。
関連ワード (セキュリティ、企業セキュリティの歩き方等) についても参考にしながら、ぜひ本記事について議論していってくださいね。
本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。
本連載「企業セキュリティの歩き方」では、セキュリティ業界を取り巻く現状や課題、問題点をひもときながら、サイバーセキュリティを向上させていくための視点やヒントを提示する。
前回は、セキュリティ管理者が直面する脆弱性問題の対応と、ソフトウェアのサプライチェーンにおけるセキュリティリスクの高まりについて述べるとともに、「脆弱性まつり」と呼ばれる状況が拡大する背景にあるオープンソースソフトウェア(OSS)の利用における課題を指摘した。今回は、そのOSSを取り巻く状況をさらに深掘りしていく。ここには、システムの開発や運用時におけるユーザー企業の情報システム部門とベンダー企業のエンジニアとの歴史的な関係性にまつわる日本独自の特殊な要素が介在しており、それが脆弱性管理の闇の部分にもつながっている。
その昔、まだメインフレームが中心だった時代のITシステムは、ほとんどスクラッチ開発だった。その後にWindowsやUNIXなどのオープン系と言われる標準化されたOSやミドルウェアが企業の大規模システムでも利用されるようになった。
これらが本格的になったのは、「IT革命」などと呼ばれた1990年代だ。30年近く前の昔話だが、このオープン化は、ソフトウェアが部品化される重要なターニングポイントであり、本稿では外せない。このシステムのオープン化が、ソフトウェアのサプライチェーン構造が成立するきっかけになった。
もちろん、それまでもメインフレームを製造しているコンピューターメーカーには、部品化や標準化による効率化が行われていたはずだが、それはあくまでも製品開発者などメーカー内部での工夫だ。また、「サードパーティー」と呼ばれる製造元、製品利用者と異なる第三者の存在は確立しておらず、現在のような重層なサプライチェーンとは、ほど遠いものだった。
部品を組み合わせてITシステムを構築するには、規格の統一も不可欠だ。これも元は、製造業のネジやボルトのような部品の規格統一がその原型であると言える。コンピューターのソフトウェアやネットワークなどにも、米国のIEEEに代表されるような団体によって数多くの技術規格が整備され、それに基づく部品の集合体としてシステムが動作することが一般化した。
システムのオープン化は、その先にオープンソース化という別の新たな流れももたらした。オープンソース(ソフトウェア)をOSSと表記することも多いが、そのように呼ばれるアプリケーションの種類は多岐にわたる。特に、「ミドルウェア」などと呼ばれるシステムの複雑な動作を担う基盤的な部分は、OSSが担うことが多い。
例えば、ウェブサーバーのApache HTTP Server、データベースのmySQLやPostgreSQLなどが代表だが、その代表は何と言ってもLinuxの誕生と普及だ。ただしLinuxは、サーバー向けOSということもあって、システムの構築や運用に直接携わらない人にとっては、あまりなじみがない。それでもRed Hatに代表されるメジャーなLinuxディストリビューターが他のミドルウェアをパッケージングさせたことで、OSSで完結するソフトウェアラインアップがサポートも含めて提供されるようになった。Linuxから派生したOSが幾つも誕生し、さまざまなサーバーやアプライアンス、組み込みOSなどで多く採用されるようになった。
スマートフォンやタブレット端末用OS「Android」を知らない人は、ほとんどいないと思う。現在では、Androidが世界で最も有名なOSSと言っていいだろう。AndroidはGoogleが開発し、戦略的な理由でソースコードを公開していることから厳密なOSSではないと見る人がいるかもしれないが、結果的に端末メーカーがこれを積極的に受け入れたことで、スマートフォンOSの一大勢力となった。この(OSS化という)英断によりOSSとしての恩恵がGoogleだけでなく端末メーカーとユーザーにももたらされたと言える。
まさにGoogleの戦略がピタリとはまった感じだが、高い技術力を結集し、膨大なコストをかけて開発したものをあえて世界中に公開して、誰でも使えるようにするというのは、営利企業としてのリスクや懸念も多くある中で、世界中にOSSの恩恵を広めたというのは紛れもない事実だろう。