Linuxカーネルのセキュリティチームはどこが違うのか–特有の問題も

今回は「Linuxカーネルのセキュリティチームはどこが違うのか–特有の問題も」についてご紹介します。

関連ワード (ソフトウェア等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

 Linux FoundationのGreg Kroah-Hartman氏は12月6日、Open Source Summit Japan 2023の基調講演に登壇し、Linuxカーネルのセキュリティの現状と今後の課題について、さまざまな観点から議論した。安定版Linuxカーネルのメンテナーであり、Linuxカーネルセキュリティチームの主要メンバーでもあるKroah-Hartman氏は、講演の中で、オープンソースソフトウェアのセキュリティを取り巻く状況の変化や、規制上の課題、そしてこれらの問題に対するLinuxカーネルの対応について語った。

 ソフトウェアのセキュリティに関する問題が毎日のように発生する中、各国政府は、セキュリティの問題を軽減すべく、企業やさまざまな組織を指示に従わせようとしている。しかし、そこには1つ問題がある。それは、政府はソフトウェアがどう使われているかをほとんど理解しておらず、オープンソース開発者がソフトウェアをどう開発しているのかについては、それ以上に理解していないということだ。

 例えば、欧州連合(EU)が提案したサイバーレジリエンス法(CRA)は、善意に満ちた法案ではあるものの、オープンソースソフトウェア開発者との相性はよくないという。Kroah-Hartman氏が指摘したように、最新の草案では内容がかなり改善されてはいるが、「世界中がEUにデバイスや製品を販売している以上、この法律が全員のセキュリティ要件を決めることになる」という点では違いはない。

 では、この新たな規制の波に対応する準備は整っているのだろうか?答えはノーだ。

 Kroah-Hartman氏は、Linuxコミュニティの現状について触れ、Linuxカーネルのセキュリティチームは、積極的なスタンスを採用する他のセキュリティチームとは違って、基本的に問題が起きてから対応するスタンスだと説明した。Linuxカーネルのセキュリティチームは、2005年に正式に発足して以来、企業との協力関係や契約は一切結ばずに、非公式な組織として活動を続けてきた。同氏によれば、このような体制を取っていることで、セキュリティ問題に対して中立的で柔軟な対応が取ることが可能になっているという。このアプローチは、企業からの信頼を育んだり、セキュリティ問題を効果的に管理したり、トリアージを行ったりするのに役立ってきた。

 「さまざまなグループや、カーネルセキュリティチームや、プロジェクトが積極的な対応を取っているが、それは私たちのやり方ではない、私たちはただ、起きた問題に対処するだけだ」

 しかも、対処しなければならない問題は山積みになっている。Kroah-Hartman氏はその1つとして、「Spectre」や「Meltdown」などをはじめとするハードウェアセキュリティに関する現在進行形の課題を挙げた。これらの深刻なCPUの問題が表面化してから3年以上が経過したが、同氏はこの問題について、「メーカーはハードウェアでこれらの問題を修正しようとしているが、数時間前には別のバグが発表された。この分では、この問題は当面の間は終わらないだろう」と述べた。

 この問題が困難なのは、ハードウェア禁輸措置への対処に複雑な問題が伴うのに加え、ソフトウェアと比べてハードウェアの開発サイクルが長いためだ。Kroah-Hartman氏は、ハードウェアメーカーが「もっと速く、積極的に」取り組んでくれるのが理想だと考えており、各国の政府や規制機関もそう考えていると述べた。

 また同氏は、「Linuxの商用ディストリビューションモデルはまだ死んでいないが、多くの人は、そのモデルがもはや圧倒的な多数派ではないことを理解していない。今や世界のサーバーやシステムの80%は、(Red Hat Enterprise Linux(RHEL)やSUSE Linux Enterprise Server(SLES)ではなく)Debianや、Fedoraや、openSUSEをベースとしたフリーでオープンソースのプロジェクトで動いている」と指摘した。

 Kroah-Hartman氏は、そのことがセキュリティの問題を複雑にしていると述べ、「これらのオープンソースプロジェクトに取り組んでいるコミュニティは、秘密保持契約(NDA)を結ぶことができない。なぜなら、それらのコミュニティーの個々のメンバーは、別の国の別の企業で働いている個人だからだ」と説明した。

元記事: https://japan.zdnet.com/article/35212689/
IT関連 #ソフトウェア

COMMENTS

この記事について議論する

Recommended

TITLE
CATEGORY
DATE
販売/サービスチームの生成AI導入率は低い–セールスフォース調査
IT関連
2023-07-07 07:57
パナソニックHD、インドで電動車両向けのIT運用支援システムの実証事業に着手
IT関連
2022-12-28 11:34
クラウド録画のセーフィーと秘密計算・AI開発のEAGLYSが製造現場の生産ライン不具合検知に向けAI画像解析サービス開発
IT関連
2022-01-26 18:35
富士通、海中の生物や構造物の3次元形状データを取得する技術を開発
IT関連
2024-03-29 00:39
トレンドマイクロ、XDRにセキュリティ製品群の運用管理機能を追加
IT関連
2023-08-30 15:01
マイクロソフト、サステナビリティにフォーカスした「Cloud for Sustainability」発表
IT関連
2021-07-16 13:25
バイデン大統領就任でホワイトハウスの公式サイト刷新、アクセシビリティ向上–隠しメッセージも
IT関連
2021-01-21 22:53
マイクロソフト、クラウドベースの大規模なビジネスメール詐欺活動を阻止
IT関連
2021-06-17 20:41
エッジコンピューティングへの国内投資は24年に1兆6千億円–IDC予測
IT関連
2024-03-29 10:08
マイクロソフト、「Exchange Server」の脆弱性に関連する侵入の痕跡を確認するスクリプト公開
IT関連
2021-03-09 02:12
GMの電気自動車Bolt EVが2度目のリコール、LG化学製バッテリーに発火のおそれ
モビリティ
2021-07-27 07:59
DRONE FUNDが3号ファンドの追加調達を実施し清水建設やキャナルベンチャーズらが参画、総額約50億円に
VC / エンジェル
2021-03-10 14:27
グーグルのトラッキングクッキーのサポート終了は英国の競争規制当局が同意しない限り実現しない
ネットサービス
2021-06-23 18:23
シスコが目指す、次世代のデータセンターネットワーク 実現の鍵は「自動化・可視化・分析」にあり
PR
2021-07-31 19:07