現在地 HOME > 掲示板 > IT3 > 159.html ★阿修羅♪ |
|
(回答先: Opinion:MS批判のCCIA報告書に物申す(Part 1)【ZD Net記事】う〜ん、色々な見方がありますね。 投稿者 クエスチョン 日時 2003 年 10 月 10 日 07:31:22)
ZDNN 2003年10月9日 06:15 PM 更新
Windowsへの「一極集中は危険」とGartnerも賛同【ZD Net記事】
http://www.zdnet.co.jp/news/0310/09/ne00_monoculture.html
業界団体CCIAがWindowsの独占状態が国家のセキュリティに深刻な影響を
もたらす可能性を指摘したのに続き、Gartnerもこれに同調。Windowsその
ものは批判していないが、「モノカルチャー化は危険」と指摘している。
MicrosoftのWindowsにもっぱら依存すれば、企業はサイバー攻撃でより
大きな損害を被りかねない――。ITコンサルタント会社のGartnerは、今
週公表予定のレポートでそう指摘している。
CNET News.comが入手した草稿によると、このレポートの内容は「ソフ
ト業界におけるMicrosoftの独占力が国家のサイバーセキュリティに深刻
な影響をもたらしかねない」と主張した、7人の著名なセキュリティ研究
者による先の報告書をそっくり支持するものとなっている。Gartnerはこ
のレポートを10月10日に発表する予定。
これらのレポートによると、情報インフラの大半を単一のコードベース
に依存させるというモノカルチャーの状態は、連鎖的な障害を招き、停電
と同様の形でインターネットの大部分をまひさせる可能性があるという。
Gartnerのレポートは国家ではなくむしろ企業に焦点を当て、「デスクト
ップ用OSを多様化させることは、企業にとって、こうした大惨事に対する
優れた防御策になり得る」と指摘している。
レポートの草案には次のように記されている。「Windowsは企業のデス
クトップの90%以上で用いられているが、最近Windowsを狙った悪意ある
コードによる攻撃が急増しているという事実は、企業がPCのセキュリティ
と堅牢性を至急改善する必要性を強調している」
「基幹業務機能を複数のデスクトッププラットフォームに分散させたり、
主要な業務グループを別々のプラットフォームで管理したりすれば、攻撃
にあった場合でも、少なくとも主要な人事や業務の処理、通信の一部につ
いては継続させられるようにできる」とさらにレポートは続いている。
Gartnerのレポートは、7人の著名なセキュリティ研究者による先の報告
書の見解に対して、米産業界が支持に回る可能性を初めて示したものと言
える。この報告書は、Microsoftに批判的なことで有名な業界団体の
Computer and Communications Industry Association(CCIA)が9月24日
に公開したもの。この報告書が公開された翌週には、個人情報盗難の被害
者に代わり、個人データを脆弱な状態にさらしたとしてMicrosoftを相手
取った訴訟が起こされたが、この訴訟の意見書にはCCIAが発表した報告書
の見解が広範に採用されている(10月3日の記事参照)。
Gartnerのレポートでは、企業向けのアドバイスも提供されている。
「サーバOS市場においてWindowsは依然として優位を保つ」とする最近の
調査結果にかかわらず、Microsoftの最大のライバルであるLinuxは今や企
業・政府機関の間で着々と足場を築きつつある。英国とロシアの政府はい
ずれも10月8日、IBMとLinux契約を締結(10月9日の記事参照)。またマサ
チューセッツ州政府も、今後政府システム向けにLinuxなどのオープンソ
ースソフトの採用が検討される可能性を高めるような政策を採用している
(10月1日の記事参照)。
Windows依存のメリットとデメリット
もっともGartnerのレポートは、MicrosoftのOS自体にセキュリティの不
備があると指摘しているわけではなく、Windowsコンピュータのみに全面
的に依存することが大きなトラブルに発展する可能性を指摘しているにす
ぎない。このレポートは、モノカルチャーの危険性は一般にも広く認めら
れていると指摘している。つまり、1種類の樹木しかない森は1種類のウイ
ルスによって壊滅してしまう可能性があるが、樹木の種類が多ければその
分、生き延びる樹木も増えるというのと同じ理屈だ。
だがMicrosoftのエンタープライズストレージ・エンタープライズ管理
部門担当の上級副社長ボブ・マグリア氏は、モノカルチャーの議論には賛
成できないという。たとえ多様化されたITシステムであっても共通のイン
タフェースを介してデータをやり取りする必要があり、そうであるからに
は広範な攻撃に遭う可能性に変わりはない。さらには、企業に多様化を強
要するということは、効率の低下につながる。
「多様化と同時に相当の複雑さがもたらされ、日常レベルの業務を進め
づらくなるはずだ」と同氏。
Gartnerのレポートも、多様化には代償が伴う点は認めている。だがこ
のレポートは、「SQL Slammer」や「MSBlast」などのワームに攻撃された
企業には、今後の攻撃に備えた追加の防御策として多様化を検討する必要
があると指摘している。Gartnerは、脆弱性が新たに発見されてから攻撃
が開始されるまでのペースが早まりつつある点に言及し、企業がシステム
にパッチを当てる前に攻撃が仕掛けられる割合は2003年の15%から、2006
年には30%にまで増加すると予測している。
「パッチを当てる対策だけでは足りなくなるだろう」とレポートは指摘
している。
レポートによれば、多様化により企業は幾つかの大きなメリットを得ら
れるという。例えば、Windowsシステムを狙った大半のウイルスやワーム
に対して免疫力を付けられる。さらにWindows以外のOSの採用が広まるこ
とで、Microsoftに対する競争圧力が高まり、同社も自社ソフトのセキュ
リティをさらに強化せざるを得なくなる。
ネットワーク監視会社Counterpane Internet Securityの最高技術責任
者(CTO)で、モノカルチャーの危険性に警鐘を鳴らす先の報告書を作成
した1人でもあるブルース・シュナイアー氏は、Gartnerのこうしたアドバ
イスを評価し、多様化にはある程度の困難が伴うものの、その価値は十分
にあると指摘している。
「そうした兼ね合いの問題であるということは、われわれも常々指摘し
てきた。店内に顧客を入れないような店作りをすれば、当然セキュリティ
上のメリットはある。だが、その代価は到底受け入れられるものではない。
要は、セキュリティの改善に伴う代償として容認し得る限度を見極めるこ
とだ。人々が最終的に、セキュリティ上のメリットに代償を支払うだけの
価値が十分にあると考えるようになれば、万々歳だ」と同氏。
だがGartnerは顧客に対して、「正しいやり方で行なうこと、さもなけ
れば全くやらないように」と警告している。デスクトップに多様性を持た
せる作業で、企業は往々にして失敗する可能性があるという。Gartnerの
レポートは、サイバー攻撃が成功するケースの3分の2はシステムの設定の
誤りを狙ったものであると指摘した上で、企業に対し、多様化は正しく実
行できる場合以外は行なうべきではないと強調している。
「複数のOSをずさんに管理するくらいであれば、単一のOSを厳密に管理
する方が、よほど優れたセキュリティを実現できる」とレポートには記さ
れている。
原文へのリンク
関連記事
Opinion:MS批判のCCIA報告書に物申す
MSに対し、「脆弱性の責任」問う初の集団訴訟へ
渦中の元@Stake幹部、報告書の意図を語る
「MSの独占がセキュリティを脅かす」――業界団体が報告
[Robert Lemos, ZDNet/USA]