 |
|||||||
|
|
|
||||||||||
|
||||||||||
|
 |
|||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
| ||||||||||
|
「LinuxよりもWindowsは安全」なのか |
||||||||||
|
||||||||||
|
|
||||||||||
|
| ||||||||||
|
ここ数年、企業システムへのLinuxの導入が進み、じわじわとUNIX、Windowsのシェアを侵食している。Linuxは、オープンソースという開発形式をとることで、コストと安全性の面でメリットがあると言われる。だが、先月、独立系調査会社の米Security Researchが「LinuxよりもWindowsの方が安全」という調査結果を発表して、波紋を呼んでいる。 同社が3月22日に発表したレポートは37ページにわたるもので、「Webサーバーには、LinuxとWindowsのどちらのシステムが適しているか」という観点から調べた。WindowsとLinux(デフォルト構成と最小構成の2つ)の2種類のOSを比較したものである。 Windowsシステムでは、Windows Server 2003でMicrosoft Internet Information Services 6.0 (IIS 6.0)を動かし、データベースとしてSQL Server 2000、アプリケーションプラットフォームとしてASP.NETを組み合わせた。Linuxシステムでは、Red Hat Enterprise Linux 3.0(RHEL 3.0)でWebサーバーのApacheを動かし、データベースにMySQL、アプリケーションプラットフォームとしてPHPを組み合わせた。 その結果、2004年1年間の調査期間中に明らかになったWindowsの脆弱性の数は52件だった。一方、Linuxは最小構成時で132件にのぼり、Windowsの2倍以上となった。さらにデフォルト構成時のLinuxの脆弱性数は174件に達していた。 また、脆弱性が報告されてから修正パッチが発行されるまでを「危険日数」として数えたところ、年間の累計数は、Windowsが1626日だったのに対し、Linuxは最小構成時が9190日(デフォルト構成時は1万2415日)となり、5倍以上だった。脆弱性1件あたりの平均危険日数は、Windowsが31.3日、Linuxは最小構成時が69.6日(デフォルト構成時は71.4日)と、Windowsの2倍以上となった。 Security Researchのレポートは、これらの結果から、「Windowsの方がLinuxよりも安全」と結論付けている。 一方、米Red Hatは、この調査が発表されると即座に測定に誤りがあるとして異議を唱えた。さらに、すべての脆弱性を同じ深刻度で取り扱う調査方法そのものがおかしいと主張している。Red Hatによると、RHEL 3.0では、深刻度の高い脆弱性の75%は1日以内に修正しているという。 このような比較と議論がさかんになったきっかけは、Microsoftが2004年初めに開始したキャンペーンにある。“Get the Facts”と銘打ったキャンペーンでは、オープンソースが漠然と与える“低コスト”というイメージに対し、Microsoftがデータ(facts)を用いて対抗、口コミで広がるオープンソース人気に歯止めを掛けることを狙った。同キャンペーンサイトは当初、コスト、性能における優位性を強調していたが、2004年5月には、調査会社の米Forrester Reseachが発表した安全性に関するレポートが並んだ。この調査では、脆弱性数と危険日数を調査し、Windowsの方がRed Hatよりも安全という結論を引き出している。 実は、Security Researchは、米Microsoftの資金提供を受けて調査を行ったことを明らかにしている。しかし、調査で採用した方法論は公開しており、あくまで中立な立場で調査を行ったと強調している。 もし、Linux陣営が安全性、コスト、性能を比較すれば、Linuxに有利な結果が出てくる可能性もある。相矛盾する結果はユーザーを混乱させるが、重要なことは、どの測定方法も完全ではないということだ。 実際、Security Researchの担当者も報告書の中で、「セキュリティのリスクは、(1)ソフトウェア、システム、ネットワークの脆弱性、(2)脆弱性に対する脅威―の2つの要因がある」としたうえで、同社の調査では、(1)のみの数量化を試みたにすぎない、と述べている。 たとえば、Windowsはユーザー数が多いから攻撃されやすい、といったリスク要因は数量化が難しい。同様に、オープンソースはソースコードが公開されているから危険だ/安全だ、という要因も数量化が難しい。また、IT管理者が精通しているOSを扱う場合と、知識のないOSを扱う場合とでは、同じOSでもセキュリティ強度はおのずと変わってくる。 議論はつきないが、この調査も病気の診断で言う「セカンドオピニオン」と考えてはどうだろう。つまり、一人の医師よりも複数の医師に診てもらうように、システムの安全性の診断も、さまざま角度から検討した方が、判断の重要な材料が得られる。となると、こうした議論は歓迎すべきものだろう。 ■ URL 米Security Researchの調査結果 http://www.securityinnovation.com/resources/linux_windows.shtml 米Red Hatのブログ http://blogs.redhat.com/people/archive/000201.html 米Microsoftの「Get the Facts」キャンペーンサイト http://www.microsoft.com/windowsserversystem/facts/default.mspx 米Forrester Reseachの調査結果 http://download.microsoft.com/download/9/c/7/9c793b76-9eec-4081-98ef-f1d0ebfffe9d/LinuxWindowsSecurity.pdf
( 岡田陽子=Infostand )
|
