脆弱性の防御では、切り札である「プロセス」が「多くの目」に勝ります
Windows Server と Linux の開発方法は大きく異なるモデルです。マイクロソフトは開発モデルの実装に焦点を当てており、プランニングのプロセスで重要なソフトウェアの属性が組み込まれます。それをはっきりと示されているのが相互運用性です。設計段階からの相互運用性は、マイクロソフトの開発モデルで実現されている重要な要素です。10 万社以上のソフトウェアとハードウェアのデータ交換など、マイクロソフトの幅広いお客様の相互運用性のニーズに向けて、マイクロソフトは設計段階で標準規格を組み込み、ほかのベンダー企業との関係を活用しながら、マイクロソフト製品とオープン ソースなどの他のベンダー企業製品の統合が必要なお客様の負担を軽減できます。
これらのモデルの違いは、お客様への現実的なセキュリティの違いであると言えます。
| • | バグの特定、報告、修正方法 |
| • | 脆弱性の深刻度の低減 |
| • | Linux と比較して Windows がリスクにさらされる合計日数の減少 |
サーバー オペレーティング システムの購入を決定する場合、セキュリティを最も考慮することが重要だと言われています。実際は、Linux および Windows Server の情報セキュリティの理念は非常に異なっており、それぞれのお客様に異なるエクスペリエンスを提供します。過去数年にわたり、セキュリティ開発のためにプロセス中心のアプローチの構築および改善が行われ、マイクロソフトのセキュリティ開発ライフサイクルのモデルは、Windows を非常に安全なエンタープライズのサーバー プラットフォームにしました。
誰も CIO に情報セキュリティへの投資が高すぎると言う必要はなくなり、投資額はどんどん上昇しています。Forrester によると、IT 予算の平均 1 割が正当な理由でセキュリティ1 に割り当てられているそうです。例えば:
| • | コンシューマ レポートによる最近の調査では、「インターネット ウイルス」、「スパイウェア」および「なりすまし」が、米国の消費者に与えた損害は、過去 2 年間で 70 億ドル以上で、4 人に 1 人がサイバー犯罪に巻き込まれる可能性があるということです。2 |
| • | 約 10 サイトに 1 サイトの割合で Web サイトがマルウェアに感染しています。3 |
| • | 2006 年、顧客記録の紛失により組織が負担した費用の平均総額は 182 ドルとなり、2005 年から 30% 増加しています。Privacy Rights Clearinghouse (プライバシー権利擁護センター) は、9,300 万以上の米国在住者の記録がセキュリティ侵害にさらされたと特定しました。4 |
| • | Enterprise Management Associates が実施した、データが公に漏えいされセキュリティ侵害が起こった 6 企業の調査結果によると、情報漏えい後の 16 営業日 (約 3 週間) までに、企業の平均株価が 5% 落ち込んだそうです。株価の推移を 1 年間調査した 4 企業では、平均株価が漏えい後の 195 営業日 (約 9 ヵ月) の間、2.4% から 8.5% で推移しました。この平均株価は漏えいから 229 営業日 (1 年近く) まで回復しませんでした (下記の図をご覧下さい。色つきの線は調査分析された企業を示しています)。5 |
データのセキュリティの侵害が報告された 6 企業の株価の終値の変化 (2005 年 2 月 – 2006 年 6 月) 5
セキュリティの脅威の対応では、Windows および Linux のアプローチは大きく異なります。マイクロソフトと業界を率いるサポートされているエンタープライズの Linux のベンダー企業は類似していて保証された多くのセキュリティの技術とツールを使用していますが、Windows と Linux の開発理念はまったく違います。
例えば、Linux の配布はオープン ソースの開発モデルに習っていて、ユーザーがコードを柔軟にカスタマイズできます。ユーザーの目的やスキルにより、Linux はとても安全にカスタマイズできます。極端な話、SELinux を非常に安全にカスタマイズしたユーザーが再度ログインできなかったという逸話もあります。しかし、カスタマイズの機能により、安全なコードについてユーザーの責任がますます重くなりました。幅広くサポートされている Linux の配布では、ある特定のポイントを超えてカスタマイズされた場合に、その契約で製品のサポートを停止するという規制が、パッチ管理といったセキュリティ サポートなどに多くあります。
さらに、Linux コミュニティでは「多くの目にさらせば、バグは枯れる」という一般的な概念がありますが、これは Linux のコミュニティ ベースであるという性質と、その普及度を示すもので、オープン ソースのコードは多くのユーザーにバグの特定をさせ、デバッグの推奨策を提供しています。実際には、ふたつの理由で、Linux セキュリティの「多くの目」の主義の大部分は反証されています。まず、すべての「目」により、探しているものが確認されてしまいます。 実際、セキュリティの知識ほとんどのユーザーまで幅広くおよぶものではなく、非常にまれで貴重なスキルのひとつです。次に、「多くの目」の議論はすべての「目」がバグのコードを任意に調査することを意味します。 事実、コードのデバッグおよびテストは、次世代の優れたアプリケーションを作るために時間を費やしたい多くの自主的な開発者にとって必ずしも興味深い娯楽のひとつとは言えません。 その結果、Apache Foundation のセキュリティ ディレクターである Ben Laurie が「現在でも議論に上るのであるが、”多くの目” の議論をセキュリティに当てはめた場合、真実ではないことは明白である」と話したのは、驚くべきことではありません。6
セキュリティ管理に対してプロセス中心の厳しいアプローチが欠如することにより、Linux がますます複雑になっているとしても、Linux の開発に追いついてしまうと思われます。Linux の Kernel 保管管理責任者 である Andrew Morton は「2.6 カーネルは徐々にバグが出始めている」と見ています。 「我々は、まるでバグの修正よりも多くバグを追加しているようだ」と話し、バグの修正業務に熱意を持っている開発者は少ないとも話しています。7 LWN.net の共同創立者の Jonathan Corbet は、「Linux の開発者はバグ レポートを隙間に (こっそり) 滑り込ませているようである」と述べ、「追跡システムの中にある 1500 のオープン カーネル バグ、およびメーリング リストに回答していない 50 のバグについて、開発者にはより優れたプロセスまたは新たな優先順位が必要なのではないだろうか?」と続けています。8
Linux のモデルと比較すると、マイクロソフトはセキュリティ開発ライフサイクル (SDL) を通じて製品のセキュリティを促進しています。
SDL は 1992 年の有名な Bill Gates のメモ9 から生まれ、お客様がマイクロソフトのセキュリティへの責任について懸念していた数年後に (それも当然だったこともあります)、マイクロソフトがセキュリティのリーダーとなる道筋となったものです。
SDL の目的は次の二つです: 1) コードの脆弱性数を減少する 2) 通り抜けるバグの深刻化を低減する
実質的にすべての脆弱性を捕えるのは不可能なので、規範的なプロセスを確実に構築し、適切な時期にできるだけ最適化された方法でバグの特定と修正を行うことが鍵です。
(SDL に関する詳細情報は、Gartner の John Pescatore およびマイクロソフトの Michael Howard と James Whittaker による 最新の Web キャスト をご確認下さい。)
SDL の長所は、厳しい一連のゲートとセキュリティ専門家の監督により、セキュリティが開発の各段階でマイクロソフト製品に「焼き付けられている」ということです。また、マイクロソフトがセキュリティ トレーニングに引き続き行っている莫大な投資およびセキュリティが確実に企業文化の一部であるようにするためのトップダウンのエグゼクティブの優先順位決定により、セキュリティは製品で強化されています。このお約束の一部として、マイクロソフトは 2 億ドル以上を 13,000 以上の Windows スタッフのためにセキュリティに焦点をあてた開発技術および新しいエンジニアリング プロセスについてのトレーニングに費やし、この結果が Windows Server 2003 の各行ごとのセキュリティ レビューとなりました。10 Linux の「たくさんの目」のモデルに対し、マイクロソフトは頻繁にソフトウェアのプレリリース版を利用可能にし、従業員がベータを試し、フィードバックを提供する広範な「ドッグフーディング」の社内プログラムがあります。たとえば、2,250,000 以上もの Windows Vista のプレリリース コピーが配布され、11 これが安定しており、実際の要件を満たしているかを確認する手助けとなりました。しかし、Linux の「多くの目」のモデルと異なり、マイクロソフト製品はコードの確認とデバッグで生計を立てている大勢の熱心なプロフェッショナルによりテストされています。実際、2,500 人以上のテスターが Windows Server 2003 で評価およびテストを行いました。12
セキュリティは SDL での開発で終わるのではありません。ソフトウェアに関する問題が発生すると、お客様はマイクロソフトに匿名で報告を送信できます。システム エラーに関する問題が Microsoft Online Crash Analysis サービスに取り次がれ、これがさらに広範な調査と報告を行います。データは今後の製品を改善するために使用され、これにより得られた教訓は将来のリリースを強化し、絶えず向上しているセキュリティのサイクルを推進します。
マイクロソフトが伝統的に Linux よりも遅れているセキュリティ分野は、不必要なコンポーネントを除くために配布をカスタマイズし、これにより製品の脆弱性の表面を削減できることです。Windows Server 2008 で、マイクロソフトはユーザーに不必要なアプリケーションを削除することを許可し、Server Core を介し脆弱性の表面を削減することにより、同じ方向における強力な措置を取ってきました。Server Core のインストールは既定の Windows Server のインストールのサイズのごく一部分です。この理由は、これは Windows グラフィカル ユーザー インターフェイス (グラフィックス機能の最小限のセットを除く)、Microsoft Internet Explorer および Windows ファイル エクスプローラを含む通常の Windows 機能の多くを除外するためです。
Linux と Windows 間でのセキュリティへのアプローチにおける明らかな差異を考えると、結果はどのようなことをお客様に確証するのでしょうか? ほとんどすべての手段により、SDL は Windows のお客様に、より脆弱性の影響を受けやすくないオペレーティング システムを提供していることを証明しています。リリースから最初の 6 ヶ月間、競合のオペレーティング システムに存在する脆弱性の最新の比較では、Windows Vista はライバルの Linux よりもその脆弱性の数がはるかに少なかったのです。さらに、SDL による継続的な改善のさらなる証拠として、Windows Vista はリリース後の 6 ヶ月で Windows XP の以前のオペレーティング システムの脆弱性の件数の半分以下でした。13 (下のグラフをご覧ください。)
同様に、Windows Server 2003 とそのライバルのエンタープライズの Linux との 2007 年 1 月から 7 月までの脆弱性を比較すると、Windows Server 2003 の方が脆弱性の総件数が少ないことが分かりました。また、深刻度が高い脆弱性の件数も少なかったです。14 (下記の図をご覧ください。)
異なる製品でセキュリティを比較する場合、脆弱性の一般的な測定基準は Days of Risk (DoR) です。DoR は脆弱性が一般に公開された時からベンダーの更新プログラムがその脆弱性を解決するために利用可能となるまでの時間を計測します。
平均的な Days–of-Risk についての 2006 年のマイクロソフト、Red Hat、Novell、Sun およびアップル社の比較では、こちらでも Windows は Linux を含むライバルよりもセキュアであることが証明されました。多くのお客様がいくつかのバージョンを適用しているため、分析は各ベンダーの複数の製品バージョンを総計したものでした。この結果は、平均して Windows を使用しているお客様は深刻度の高い脆弱性を含め、脆弱性にさらされる危険性がある時期がライバルのオペレーティング システムを使用しているお客様よりも著しく短いことを示しています。Novell Enterprise Linux の平均の DoR は Windows よりも 2.5 倍以上長く、Red Hat Enterprise Linux についてはその平均の DoR は Windows よりも 4 倍近くの長さでした。さらに、Novell Enterprise Linux のお客様は高い深刻度の脆弱性にさらされている時間は Windows ユーザーよりも 2 倍近くも長く、また Red Hat Enterprise Linux のお客様は Windows ユーザーよりも 3 倍以上長い時間深刻度の高い脆弱性にさらされていました。15 (下の図をご覧ください。)
Windows および Linux は異なるモデルを介し開発され、サポートされており、これらの相違するアプローチは異なるセキュリティおよび相互運用性のエクスペリエンスをエンド ユーザーにもたらすことになります。Windows と Linux 間での選択は、仕様の相互運用性とともに規律ある SDL のプロセス中心のアプローチは両方ともマイクロソフトの開発モデルにより有効とされており、これらはお客様に強力なメリットを提供します。インフラストラクチャに関して言えば、マイクロソフトのアプローチはお客様に実際の選択を提供し、お客様の行う選択がセキュアであるようにする手助けとなります。
マイクロソフトと Linux 間のセキュリティの比較に関する詳細は、次の Web サイトをご覧ください。http://www.microsoft.com/windowsserver/compare/linux/security.mspx
ソース
1. | Forrester Research、2006 年 8 月 3 日、Joanne VanAuken によるコラム Network Computing.com の “Managed Security Service Providers” で引用 http://www.networkcomputing.com/showArticle.jhtml;jsessionid=NGR54YQR132R0QSNDLPCKH0CJUNN2JVN?articleID=191203015&pgno=10 |
2. | Consumer Report's 2007 "State of the Net" の研究、2007 年 8 月 6 日、Brian Prince の eWeek の “Survey: Cost of Cybercrime Reaches $7B” でプロファイル http://www.eweek.com/article2/0,1759,2167203,00.asp |
3. | Forrester Research のアナリスト Chenxi Wang、2007 年 8 月 6 日、Brian Prince の eWeek の “Survey: Cost of Cybercrime Reaches $7B” で引用 http://www.eweek.com/article2/0,1759,2167203,00.asp |
4. | Vontu, Inc., および PGP Corp による Ponemon Institute の研究 “2006 Annual Study: Cost of a Data Breach.” http://www.pgp.com/downloads/research_reports/index.html |
5. | Enterprise Management Associates 2007 年 4 月 “The Convergence of Security and Systems Management: Towards IT Efficacy” http://download.microsoft.com/download/2/7/9/27940DDA-2B42-460A-A921-6D9E5B1226EE/EMA_Microsoft-Security-SystemsMgmt_WP.PDF |
6. | Ben Laurie、“Open Sources 2.0” 60 ページ目 http://safari.oreilly.com/0596008023/opensources2-CHP-4-SECT-1 |
7. | Andrew Morton、2006 年 5 月 6 日、Ingrid Marson、“Linux kernel 'getting buggier,' leader says” CNet News.com で引用 http://www.news.com/Linux+kernel+getting+buggier,+leader+says/2100-7344_3-6069363.html |
8. | Jonathan Corbet、2007 年 9 月 12 日 “Kernel space: Are Linux developers ignoring bug reports?” LinuxWorld.com http://www.linuxworld.com/news/2007/091207-kernel.html?page=3 |
9. | Bill Gates、2002 年 1 月 17 日 “Bill Gates: Trustworthy Computing,” Wired.com http://www.wired.com/techbiz/media/news/2002/01/49826 |
10. | Microsoft、2003 年 4 月 23 日 “Windows Server 2003 by the Numbers: One of the Biggest Product Launches in Microsoft History”http://www.microsoft.com/presspass/features/2003/apr03/04-23WinServerFacts.mspx |
11. | Microsoft、2007 年 “The Business Case for Windows Vista.” |
12. | Microsof、“Windows Server 2003 by the Numbers.” http://www.microsoft.com/presspass/features/2003/apr03/04-23WinServerFacts.mspx |
13. | Jeffrey R. Jones 2007 年 6 月 15 日、“Windows Vista 6-Month Vulnerability Report” http://blogs.csoonline.com/windows_vista_6_month_vulnerability_report |
14. | Jeff Jones 2007 年 8 月 16 日、“July 2007 - Operating System Vulnerability Scorecard,” Technet.com http://blogs.technet.com/security/archive/2007/08/16/july-2007-operating-system-vulnerability-scorecard.aspx |
15. | Jeff Jones 2007 年 6 月 13 日、“Days-of-risk in 2006: Linux, Mac OS X, Solaris, and Windows”, CSO.com http://blogs.csoonline.com/days_of_risk_in_2006 |
この記事は、マイクロソフト セキュリティ ニュースレターで配信しました。