Heartbleedバグについて、皆さんは既にご存知でしょう。これは、潜在的に数百万件ものパスワードが攻撃にさらされ、インターネットのセキュリティそのものを脅かす重大な脆弱性です。この脆弱性はSSL暗号化のオープンソース実装であるOpenSSLに存在するため、オープンソース開発の性質に何らかの問題があるのではないかと疑問を抱く人も多いでしょう。そこで、セキュリティ専門家に意見を伺いました。
クローズドソース vs. オープンソース
まず、クローズドソースとオープンソースの違いを説明しましょう。ソースとは、プログラムのソースコード、つまりアプリケーションの動作を制御する実際のテキストコマンドを指します。
クローズドソースアプリケーションは、ソースコードを一般公開しません。これは、社内開発者によって作成・保守される独自のプロプライエタリコードです。Microsoft OfficeやAdobe Photoshopといった市販のソフトウェアは、クローズドソースの例です。
オープンソースは必ずしもハッカーにとっての自由を意味するわけではありません。
一方、オープンソースとは、ソースコードが公開されているソフトウェアを指します。オープンソースプロジェクトは、開発者が自由にコードをレビュー、編集、拡張、機能追加できるため、一般的に共同作業で進められます。オープンソースソフトウェアの代表的な例としては、Linux、Apache Webサーバー、OpenSSLなどが挙げられます。
オープンソースのセキュリティ(不安全)
誰でもソースコードを閲覧でき、開発者がオープンソースプロジェクトに変更を加えることができる場合、潜在的なセキュリティ上の懸念が生じます。開発者を適切に審査しなければ、どのような安全な開発手法が採用されているのか(採用されているのかさえ不明です)を把握することは不可能であり、悪意のある開発者がソフトウェアを攻撃にさらすことを明確な目的として、Heartbleedのような脆弱性を意図的に作り出す可能性があります。
つまり、オープンソース ツールは本質的に安全ではない、またはクローズド ソース ツールよりも安全性が低いということですか?
「オープンソースソフトウェア開発の共同作業的な性質により、ソフトウェアライフサイクル全体にわたってセキュリティが考慮されるようにするという課題が複雑化しているという議論もあるだろう」と、(ISC)2の最高執行責任者であり、CISSP、PMPの資格を持つデビッド・シアラー氏は、PCWorldに送った声明で述べた。
OpenSSLの本来はシンプルな診断機能であるはずの機能がセキュリティに及ぼす影響は、その好例です。Shearer氏によると、「オープンソースソフトウェアとして利用可能な主要なセキュリティアーキテクチャコンポーネントの一部は、より厳密な管理と監視が必要となる時代に向かっていると言えるかもしれません。」
しかし、オープンソースの共同作業的な性質や、ソースコードを一般に公開することに特有のセキュリティ上の懸念があることは事実ですが、オープンソースによってセキュリティが強化される方法もあります。
「オープンソースの利点は、透明性が非常に高いため、迅速に検出して修正できることです」と、Lancope の CTO である TK Keanini 氏は述べています。
実のところ、安全でないコードはオープンソースかクローズドソースかという議論ではありません。ソフトウェア開発とソースコード管理ははるかに厳格に管理されているにもかかわらず、顧客が高額な料金を支払って購入する商用ソフトウェアには、依然として重大なセキュリティ上の欠陥が頻繁に発見されています。
「オープンソース開発コミュニティや個人、あるいはプロセスを責めても問題は解決しません」と、CloudPassageのDevOps担当シニアディレクター、アンドリュー・ストームズ氏は指摘する。「オープンソースソフトウェアは商用ソフトウェアと同様に、常にバグを抱えているのです。」
したがって、この規模の欠陥のスケープゴートを探すのは当然ですが、セキュリティの名の下にオープンソースの多くの利点を無視するのは愚かなことです。
