セキュリティ管理者が脆弱性の影響をベンダーに聞かなければ判断できない裏事情

今回は「セキュリティ管理者が脆弱性の影響をベンダーに聞かなければ判断できない裏事情」についてご紹介します。

関連ワード (セキュリティ、企業セキュリティの歩き方等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 本連載「企業セキュリティの歩き方」では、セキュリティ業界を取り巻く現状や課題、問題点をひもときながら、サイバーセキュリティを向上させていくための視点やヒントを提示する。

 前回は、セキュリティ管理者が直面する脆弱性問題の対応と、ソフトウェアのサプライチェーンにおけるセキュリティリスクの高まりについて述べるとともに、「脆弱性まつり」と呼ばれる状況が拡大する背景にあるオープンソースソフトウェア(OSS)の利用における課題を指摘した。今回は、そのOSSを取り巻く状況をさらに深掘りしていく。ここには、システムの開発や運用時におけるユーザー企業の情報システム部門とベンダー企業のエンジニアとの歴史的な関係性にまつわる日本独自の特殊な要素が介在しており、それが脆弱性管理の闇の部分にもつながっている。

 その昔、まだメインフレームが中心だった時代のITシステムは、ほとんどスクラッチ開発だった。その後にWindowsやUNIXなどのオープン系と言われる標準化されたOSやミドルウェアが企業の大規模システムでも利用されるようになった。

 これらが本格的になったのは、「IT革命」などと呼ばれた1990年代だ。30年近く前の昔話だが、このオープン化は、ソフトウェアが部品化される重要なターニングポイントであり、本稿では外せない。このシステムのオープン化が、ソフトウェアのサプライチェーン構造が成立するきっかけになった。

 もちろん、それまでもメインフレームを製造しているコンピューターメーカーには、部品化や標準化による効率化が行われていたはずだが、それはあくまでも製品開発者などメーカー内部での工夫だ。また、「サードパーティー」と呼ばれる製造元、製品利用者と異なる第三者の存在は確立しておらず、現在のような重層なサプライチェーンとは、ほど遠いものだった。

 部品を組み合わせてITシステムを構築するには、規格の統一も不可欠だ。これも元は、製造業のネジやボルトのような部品の規格統一がその原型であると言える。コンピューターのソフトウェアやネットワークなどにも、米国のIEEEに代表されるような団体によって数多くの技術規格が整備され、それに基づく部品の集合体としてシステムが動作することが一般化した。

 システムのオープン化は、その先にオープンソース化という別の新たな流れももたらした。オープンソース(ソフトウェア)をOSSと表記することも多いが、そのように呼ばれるアプリケーションの種類は多岐にわたる。特に、「ミドルウェア」などと呼ばれるシステムの複雑な動作を担う基盤的な部分は、OSSが担うことが多い。

 例えば、ウェブサーバーのApache HTTP Server、データベースのmySQLやPostgreSQLなどが代表だが、その代表は何と言ってもLinuxの誕生と普及だ。ただしLinuxは、サーバー向けOSということもあって、システムの構築や運用に直接携わらない人にとっては、あまりなじみがない。それでもRed Hatに代表されるメジャーなLinuxディストリビューターが他のミドルウェアをパッケージングさせたことで、OSSで完結するソフトウェアラインアップがサポートも含めて提供されるようになった。Linuxから派生したOSが幾つも誕生し、さまざまなサーバーやアプライアンス、組み込みOSなどで多く採用されるようになった。

 スマートフォンやタブレット端末用OS「Android」を知らない人は、ほとんどいないと思う。現在では、Androidが世界で最も有名なOSSと言っていいだろう。AndroidはGoogleが開発し、戦略的な理由でソースコードを公開していることから厳密なOSSではないと見る人がいるかもしれないが、結果的に端末メーカーがこれを積極的に受け入れたことで、スマートフォンOSの一大勢力となった。この(OSS化という)英断によりOSSとしての恩恵がGoogleだけでなく端末メーカーとユーザーにももたらされたと言える。

 まさにGoogleの戦略がピタリとはまった感じだが、高い技術力を結集し、膨大なコストをかけて開発したものをあえて世界中に公開して、誰でも使えるようにするというのは、営利企業としてのリスクや懸念も多くある中で、世界中にOSSの恩恵を広めたというのは紛れもない事実だろう。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
HashiCorp、「Terraform 1.7」を一般提供–テストワークフレームのモック機能を追加
IT関連
2024-01-20 05:21
アリババ、経営体制を刷新へ–現CEOはクラウド事業に専念
IT関連
2023-06-22 08:36
新たな1歩を踏み出すロボティクススタートアップたち
ロボティクス
2021-03-13 18:14
“体験”するガンプラ、5万5000円で発売 ユニコーンガンダムの変形シーンを再現 劇中のせりふや音楽も
くらテク
2021-03-04 16:45
子ども向け健康ウェアラブルKiddoが約18.5億円調達、喘息・心臓病・自閉症・糖尿病といった慢性疾患にフォーカス
IT関連
2022-01-19 01:26
野村不動産コマース、経営管理SaaSの導入で収支管理の精度を高度化
IT関連
2024-01-19 19:37
DockerがWebGPUを用いてGPUを抽象化、AI処理などGPUを使ったコンテナ化アプリのポータビリティを実現する技術を開発中。DockerCon 23
Docker
2023-10-13 14:17
MuleSoftはデータとAIの“神経系”–セールスフォースが最新動向解説
IT関連
2024-08-06 01:58
日本郵政、社内外との情報共有基盤としてBoxを採用
IT関連
2022-03-04 09:39
英個人情報監督局が公共の場でのライブ顔認証による「ビッグデータ」監視の脅威に警鐘を鳴らす
パブリック / ダイバーシティ
2021-06-29 17:53
「パナソニック コネクト」発足、パナソニックグループ全社でBlue Yonder導入
IT関連
2022-04-06 10:47
「この人、家賃を滞納しそう?」AIが予測 入居審査を45分→16分に
ロボット・AI
2021-06-23 00:46
日本のCIOが2022年に注力すべき3つの重要課題–ガートナーがデジタルビジネス推進で提言
IT関連
2022-04-15 22:29
オラクル、クラウド移行を無料支援する新サービス「Oracle Cloud Lift Service」を開始
IT関連
2021-04-02 22:26