[FT]公開ソフト、課題は保守 脆弱性克服へ技術・法支援

[FT]公開ソフト、課題は保守 脆弱性克服へ技術・法支援
https://www.nikkei.com/article/DGXZQOCB204P40Q1A221C2000000/

 ※ 「オープンソース」の「死角」は、こういうところにもある…。

 ※ 大手または有名どころのソフトは、少なくとも「問題が生じた場合」の「交渉の相手方」は、明確だからな…。

 ※ それも、「事前の承認」で、「放棄させられている」ことが多いが…。

 ※ まあ、最後は「保険」に頼る他は無いんだろう…。

 ※ おそらく、その「保険」すら、「責任限定の特約」まみれなんだろうが…。

『世界はオープンソースのソフトウエアで動いている。社会で幅広く使われるソフトを、ボランティアのプログラマーが自主運営する集団を通じて、無償で開発・保守するのがオープンソースの大まかな運用手法だ。
オープンソースのソフトウエアは世界のインターネットを支える重要な位置を占めている
一見するととんでもない、社会実験として始まったこの手法は今やIT(情報技術)の中心的存在となった。最近の平均的な応用ソフトにはオープンソースで開発されたソフトが500以上も組み込まれている。

それだけに、オープンソースの時代が始まってから20年以上たった現在、専門家ですら驚くような情報セキュリティーの欠陥がみつかることは憂慮すべき事態だ。
従来と異なるインセンティブが必要に

オープンソースの世界では既存の管理体制が通用しない。品質と安全性を担保するにしても、開発者の集め方や、報酬などは従来と異なるインセンティブ(動機づけ)が必要になる。

現在、ブロックチェーン(分散型台帳)技術がITにおける新たな分散化の潮流となりつつあるなか、自主運営のプログラマー集団が必ずしも常に社会に幅広く恩恵をもたらすとは言えなくなっている。

オープンソースの基本ソフト(OS)を手がけるリナックス財団エグゼクティブディレクターのジム・ゼムリン氏の一言が正鵠(せいこく)を射ている。「権限が分散している自主運営の集団の中で、誰が責任を取れるのか」

我々をはっと気づかせた直近の例は、11日に明らかになった「Apache Log4j(アパッチログフォージェイ)」のセキュリティー上の欠陥だ。

Log4jはあまり知られてはいないが幅広く使われているソフトで、オンラインのサービスや応用ソフトの利用状況の記録管理という目立たない仕事をする。

だが、この無害そうにみえるソフトウエアが突如、この10年ではオンラインセキュリティー上の最大の脅威となった。このソフトを搭載している世界中のコンピューターが100万回以上ハッキングされ、これまで知られていなかった脆弱性が明らかになったのだ。

Log4jの保守は、普段は米データ分析大手パランティア・テクノロジーズや米IT大手オラクルなど企業の開発者がパートタイムで担っている。

世間的に注目される知名度の高いプロジェクトではないため、外部から多額の資金を集めてはいない。ある開発者はツイッターで、資金を提供する支援者が3人しかいないと嘆いた。
組み込まれていることを知らない場合も

このように資金を含め支援を十分に受けていないソフトが世界のインターネットのインフラを支える重要な位置を占めているとすれば、Log4j以外にもセキュリティーに欠陥のある「時限爆弾」はどれほどあるのだろうか。

これは当てずっぽうな答えを口にすることさえはばかられる、厄介な疑問だ。

Log4jを公開している米アパッチソフトウエア財団(ASF)だけでも約350件のオープンソースプロジェクトを抱えている。こうしたプログラムを他の多数のプログラムと組み合わせて、利用者が最終的に購入する応用ソフトが作られる。

つまり、多くの組織の中で、Log4jなどのプログラムが、組み込まれていることさえ認識されずに使われている可能性がある。オープンソースのサプライチェーン(供給網)の透明性と統制を強化する取り組みは最近始まったばかりだ。

アパッチには以前にも同様の不祥事があった。2017年に米消費者信用情報大手エクイファクスから史上最大規模の個人情報が流出した問題はアパッチのプロジェクトの一つ「Apache Struts(アパッチストラッツ)」の脆弱性が悪用されたことが原因だった。

だからと言ってオープンソースのソフトの方が、設計図のソースコードが非公開のソフトに比べてセキュリティーが低いというわけではない。両者は本質が異なるのだ。その違いを理解した上で、どう使いこなすかは今なお模索している段階だ。

問題の一つは開発者の動機づけだ。ソフトウエア開発者のエリック・レイモンド氏はオープンソース時代の初頭に出版された影響力の大きい著書「伽藍(がらん)とバザール」の中で「(監視する)人の目が十分にあれば、どのようなバグも深刻ではない」と記した。

同氏はソフトの透明性を高めれば理論上は欠陥をみつけやすくなるとも論じた。だが、Log4jなどの地味なプログラムについて、バグをみつけるために訓練を受けたいという開発者はいるのだろうか。

懸念すべき一つの点は、安全なプログラムを書き、欠陥をみつけることに対する金銭的対価が低すぎることだ。

だが、これは杞憂(きゆう)かもしれない。IBM傘下の米ソフトウエア大手レッドハットのクリス・ライト最高技術責任者によると、最重要なオープンソースソフトウエアの大半は、自社製品でそれらを使っている企業で働く専業の開発者が保守しているという。

また、大企業はオープンソースの開発者を支援できるだけの資力は十分にあり、問題はむしろ多数の小さなプログラマー集団をみつけだして関係を維持することだという見方もある。同時に、ボランティアのプログラマーは金銭が目的ではなく、誰にも邪魔されず独りで自由に開発したいという人が多い。


オープンソースという手法をアップデート

金銭で解決できないとすれば、それ以外の支援が必要となる。開発者がセキュリティーの高いプログラミング技術を進んで身につけるような動機づけも必要だ。Log4jなどの失敗がもたらす悪評はプログラマーたちに対する警鐘となる。

アパッチ財団は他のオープンソース団体と同様、自らの傘下で公開しているプロジェクトの運営と資金調達を個々のプログラマー集団に委ね、そのための技術インフラや法的支援を用意している。

一方、リナックス財団は約300人の従業員を抱えて開発者のためのトレーニングを実施したりプログラムの品質維持に使うツールを開発したりしている。アパッチにはこうした経営資源がない。より多くの開発者がこうした支援を受けられるようにすべきだ。

オープンソースの開発者は自らの独立性を重んじる。だが、彼らが開発するソフトは今やビジネスや社会で中心的な役割を果たしている。オープンソースという手法そのものを最新版にアップデートしなければいけない。

By Richard Waters

(2021年12月17日付 英フィナンシャル・タイムズ紙 https://www.ft.com/)

(c) The Financial Times Limited 2021. All Rights Reserved. The Nikkei Inc. is solely responsible for providing this translated content and The Financial Times Limited does not accept any liability for the accuracy or quality of the translation.
英フィナンシャル・タイムズ(FT)と日経新聞の記者が、アジアのテクノロジー業界の「いま」を読み解くニュースレター「#techAsia」の日本語版をお届けします。配信は原則、毎週金曜。登録はこちら。

https://regist.nikkei.com/ds/setup/briefing.do?me=B009&n_cid=BREFT053 』