FOSSセキュリティ弱点トップリスト
同リストは、National Vulnerability Databaseリストに基づいて最近新たに431のセキュリティ警告が追加された、Palamidaのセキュリティ弱点報告ソリューションの販売促進の一環として作成されたものだ。とは言え同リストには、企業内でのオープンソースソフトウェアのルーズな使用に対して注意を喚起する目的もあるとPalamidaの共同設立者でマーケティング担当副社長を務めるTheresa Bui氏は述べている。
同リストに掲載されているセキュリティ弱点は、より正確に説明すればPalamidaがクライアント企業を監査した結果に基づくものだ。そのような監査には、数百メガバイトのコードの監査から企業の全ソフトウェアインフラストラクチャにおける何百ギガバイトのコードの監査まで、様々な規模のものがある。同リストは300~500万行のコードを調査した結果をまとめたものだが、この数字はPalamidaがクライアント企業のために調査したソフトウェアの少なくとも30%(多くの場合は少なくとも50%)をカバーしているという。
Bui氏は「Palamidaはもっともよく使用されているオープンソースのプロジェクトとそのバージョンについての情報を収集している」と述べた。なおPalamidaのデータベースには約884,000ものプロジェクトとバージョンがリストされているが、それでもこれですべてをカバーしているわけではないという。
Bui氏は次のように説明した。「例えば、独自のオープンソースプロジェクトを自分自身でホストしているベネズエラの大学生がいたとして、彼のプロジェクトの導入率があまり高くなければ、Palamidaが彼のことを知る可能性はあまりないだろう。しかしだからといって、ある企業の開発者の誰かが彼のホームページを見つけることがないかと言えば、決してそうではない。Palamidaはメジャーなレポジトリやよく使われているオープンソースプロジェクトのすべてを確実にカバーしようと努めているが、当然ながら、取りこぼしてしまう個人による単発のプロジェクトなどは常に存在するだろう。企業としてはその点を常に意識しておかなければならない」。
けれどもBui氏は、同リストがオープンソースソフトウェアが現在企業内でどのように利用されているのかを表わしていることは間違いないと断言した。「その辺にあるどの企業でも、そのコードベースを調べてみれば十中八九、リストに載っているオープンソースプロジェクトのどれかを企業内で利用しているだろう」。
セキュリティ弱点トップ10
PalamidaはLinux.comに対して、影響のあるソフトウェア、ソフトウェアの説明、弱点の内容、問題を修正したパッチ/アップデート、をまとめたリストを提供した。影響のあるソフトウェアとしては、Apache GeronimoとApache Strutsの複数のバージョン、JBoss Application Server、OpenSSHとOpenSSL、またLibpng、LibTiff、Zlibなどの良く使われているライブラリなどが挙げられている。
Bui氏は、これらの弱点のすべてについてパッチやソフトウェアの新版が利用可能になっているという点を強調した。問題は、多くの企業がパッチやアップデートの存在――さらに言えば多くの場合、そのようなソフトウェアを利用しているという事実――に気付いていないということだ。セキュリティ弱点は次第に、企業のインフラストラクチャ内やユーザのデスクトップ上に存在するだけでなく、企業が出荷するコードの中にまで存在するようになってきている。
セキュリティ弱点の原因
ただしBui氏は、本来的にこれらのセキュリティ弱点に対する責任はフリーソフトウェア/オープンソフトウェアプロジェクトにあるのではないという点を指摘した。「オープンソースプロジェクトは、自らの監査を非常に得意としている。パッチが必要であることが認識された後、そのパッチが文字通り数時間以内にアップロードされることもある。リストに挙げたようなセキュリティ弱点に問題があるとすれば、その責任は、オープンソースソフトウェアのユーザにある。ユーザは、自らの企業の方針とプロジェクトのライセンスに従いながら、責任をもってオープンソースソフトウェアを使用するようにしなければならない。そういうわけで正直に言って、オープンソースプロジェクトの側に改めるべき点などはないと思う」。
Palamidaで上級コミュニケーションマネージャを務めるMelisa LaBancz-Bleasdale氏は次のように述べた。「Palamidaはこのリストに掲載されているプロジェクトがセキュリティ弱点で穴だらけだということを言いたいわけではない。このリストの主眼はそういうことではない。これらのプロジェクトは進展を続けていて、はるかに強化されたバージョンをリリースしている。しかし例えば7バージョンも前のものを使用している場合には、組織内で必要もなくセキュリティ弱点を抱え込んでいるということになる」。
問題は、フリーソフトウェアのコードがインターネット経由で簡単に入手可能であるために、開発者が「自分のデスクトップにダウンロードして、そのコードをベースとしてコーディングを開始し、それを企業のソースコード管理システムにチェックイン――しかもすべて財務/セキュリティ/法律的な監査なしに――してしまう」ことが可能であるということだ。加えて、コードの存在が知られていない場合には、企業のセキュリティチームはそのソフトウェアのアップデートの必要性について監視すべきであるということにも気付かない。
たいていの開発プロジェクトでは製作スケジュールが非常に密ということが原因で、この問題はさらに悪化している。「エンジニアリングチームは製品をリリースするようせき立てられている。そのため、何千ものショッピングカート用ウィジェットがウェブからダウンロード可能になっているというのに、一からショッピングカードを構築しようとは普通は考えないだろう」。
LaBancz-Bleasdale氏は、特に手動で監査する場合のもう一つの問題として、大企業において監査するべきコードの量の多さを挙げた。
しかしおそらく最大の問題点は、多くの企業が――顧客にアップグレードを勧めることでビジネスが成り立っていることの多いプロプライエタリのソフトウェアの利用が慣例となっている場合には特に――最新のセキュリティ弱点報告を常に追い掛ける必要性を単に認識していないということだ。
Bui氏は次のように述べた。「大企業はハードウェア資産についてはタグを付けて管理することに非常に多くの時間を費やすが、ソフトウェア資産を管理することについては同じくらいの――場合によってまったく――時間をかけることはしない。それに加えて、企業に巨大なコンピュータをこっそりと持ち込んでネットワークにつなげるということはなかなかできないが、サードパーティのアプリケーションをダウンロードしてファイアウォールの内側に置いてソースコード管理システムにチェックインする、ということはずっと簡単に行なうことができてしまう」。
以上のようなことが原因で、フリー/オープンソースソフトウェアのセキュリティ警告は広く無視され続けてしまっている。Bui氏は「セキュリティチームの能力は、エンジニアリングチームが何を所有しているのかをどの程度把握することができるか次第だとも言えるだろう。手始めに今回発表した上位に含まれているセキュリティ弱点を確認してみるだけでも、企業にとっては大きく認識を高めることになるだろう」とした。
Bruce Byfieldは、Linux.comとIT Manager’s Journalに定期的に寄稿するコンピュータジャーナリスト。
