セキュリティ管理者が脆弱性の影響をベンダーに聞かなければ判断できない裏事情

今回は「セキュリティ管理者が脆弱性の影響をベンダーに聞かなければ判断できない裏事情」についてご紹介します。

関連ワード (セキュリティ、企業セキュリティの歩き方等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 本連載「企業セキュリティの歩き方」では、セキュリティ業界を取り巻く現状や課題、問題点をひもときながら、サイバーセキュリティを向上させていくための視点やヒントを提示する。

 前回は、セキュリティ管理者が直面する脆弱性問題の対応と、ソフトウェアのサプライチェーンにおけるセキュリティリスクの高まりについて述べるとともに、「脆弱性まつり」と呼ばれる状況が拡大する背景にあるオープンソースソフトウェア(OSS)の利用における課題を指摘した。今回は、そのOSSを取り巻く状況をさらに深掘りしていく。ここには、システムの開発や運用時におけるユーザー企業の情報システム部門とベンダー企業のエンジニアとの歴史的な関係性にまつわる日本独自の特殊な要素が介在しており、それが脆弱性管理の闇の部分にもつながっている。

 その昔、まだメインフレームが中心だった時代のITシステムは、ほとんどスクラッチ開発だった。その後にWindowsやUNIXなどのオープン系と言われる標準化されたOSやミドルウェアが企業の大規模システムでも利用されるようになった。

 これらが本格的になったのは、「IT革命」などと呼ばれた1990年代だ。30年近く前の昔話だが、このオープン化は、ソフトウェアが部品化される重要なターニングポイントであり、本稿では外せない。このシステムのオープン化が、ソフトウェアのサプライチェーン構造が成立するきっかけになった。

 もちろん、それまでもメインフレームを製造しているコンピューターメーカーには、部品化や標準化による効率化が行われていたはずだが、それはあくまでも製品開発者などメーカー内部での工夫だ。また、「サードパーティー」と呼ばれる製造元、製品利用者と異なる第三者の存在は確立しておらず、現在のような重層なサプライチェーンとは、ほど遠いものだった。

 部品を組み合わせてITシステムを構築するには、規格の統一も不可欠だ。これも元は、製造業のネジやボルトのような部品の規格統一がその原型であると言える。コンピューターのソフトウェアやネットワークなどにも、米国のIEEEに代表されるような団体によって数多くの技術規格が整備され、それに基づく部品の集合体としてシステムが動作することが一般化した。

 システムのオープン化は、その先にオープンソース化という別の新たな流れももたらした。オープンソース(ソフトウェア)をOSSと表記することも多いが、そのように呼ばれるアプリケーションの種類は多岐にわたる。特に、「ミドルウェア」などと呼ばれるシステムの複雑な動作を担う基盤的な部分は、OSSが担うことが多い。

 例えば、ウェブサーバーのApache HTTP Server、データベースのmySQLやPostgreSQLなどが代表だが、その代表は何と言ってもLinuxの誕生と普及だ。ただしLinuxは、サーバー向けOSということもあって、システムの構築や運用に直接携わらない人にとっては、あまりなじみがない。それでもRed Hatに代表されるメジャーなLinuxディストリビューターが他のミドルウェアをパッケージングさせたことで、OSSで完結するソフトウェアラインアップがサポートも含めて提供されるようになった。Linuxから派生したOSが幾つも誕生し、さまざまなサーバーやアプライアンス、組み込みOSなどで多く採用されるようになった。

 スマートフォンやタブレット端末用OS「Android」を知らない人は、ほとんどいないと思う。現在では、Androidが世界で最も有名なOSSと言っていいだろう。AndroidはGoogleが開発し、戦略的な理由でソースコードを公開していることから厳密なOSSではないと見る人がいるかもしれないが、結果的に端末メーカーがこれを積極的に受け入れたことで、スマートフォンOSの一大勢力となった。この(OSS化という)英断によりOSSとしての恩恵がGoogleだけでなく端末メーカーとユーザーにももたらされたと言える。

 まさにGoogleの戦略がピタリとはまった感じだが、高い技術力を結集し、膨大なコストをかけて開発したものをあえて世界中に公開して、誰でも使えるようにするというのは、営利企業としてのリスクや懸念も多くある中で、世界中にOSSの恩恵を広めたというのは紛れもない事実だろう。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
携帯3社、料金の支払い期限を延長 コロナ禍で支払いが困難な人向けに
企業・業界動向
2021-01-22 12:27
Windows 10に特権昇格の未修正の脆弱性、マイクロソフトが回避策
IT関連
2021-07-22 11:49
国内IT大手の営業利益率、2021年度は10%超に–さらなる構造変革を加速へ
IT関連
2022-05-19 09:37
マイクロソフト、クラウド需要増などで2021年の「スコープ3」炭素排出量が増加
IT関連
2022-03-17 22:41
押して歩く時もモーターが補助する電動アシスト自転車、パナソニックが発売
くらテク
2021-05-22 09:02
サービスナウ、新型コロナワクチンの供給・接種を支援するソリューション提供へ
IT関連
2021-01-29 17:10
コロナ禍でも脆弱性は減少–インパーバ調べ
IT関連
2021-03-18 20:00
ドローンソリューションによる建設・電力・エネルギー業界DXを推進するテラドローンが15.1億円調達
ドローン
2021-02-17 06:27
eコマースサイトが在庫切れの商品を共有在庫から販売できるようになるStockly
ネットサービス
2021-04-01 03:25
NTTデータ社長が「1年先から始まる次期中期経営計画」に言及した理由
IT関連
2021-05-28 05:14
NVIDIA、仮想コラボレーション環境「Omniverse」の企業版を発表
IT関連
2021-04-13 16:50
食品ロス削減のフードシェアリングTABETEが1.1億円のシリーズA調達、開発体制や新規店舗・新規ユーザー獲得を強化
IT関連
2022-02-02 04:07
Natureが電力需給に応じ電気料金が変動する「Natureスマート電気」を発表、東京電力・関西電力エリア対象
IoT
2021-03-02 17:27
「倫理的なAI」に対する企業の意識はどれほどか
IT関連
2021-06-08 05:55