2005年02月19日

パッチの数が少ない程 安全?そんなバカな

「パッチの数はWindowsよりLinuxが多い」--Windowsの安全性をアピールするマイクロソフト - CNET Japan

Microsoftのプラットフォーム戦略部門にて、主幹プログラムマネージャーを務めるビル・ヒルフ氏が来日した。同氏は、Linuxをはじめとするオープンソースソフトウェア(OSS)について研究、調査し、競合戦略の立案を行っている。Linux信者らは「LinuxはWindowsより安価で安全だ」と主張しているが、ヒルフ氏は様々なデータを元にしてこの意見に反論した。



なんかもうバカすぎてぐうの音も出ないような記事ですがイジろうと思います。Linuxがどうこう言うよりも、MSの今後が心配なので。最近のMSのセキュリティへの取り組みが真剣であると信じていたので裏切られた感が強いです。とにかくツッコミどころ満載で、えらく勘違いした(あるいは無知なのか)批判がつらつら書かれていますが、そこら辺は無視です。Linuxなんてどうだっていい、そんな事よりもMSのセキュリティfixに対するスタンスが問題です。

Linuxの方は御存知の通り、不具合の報告毎に修正を行なっているので不具合毎に個々に対処していく事になります。当然、対応が小刻みになりますから、その分パッチの数は増えます。ただし対応はスピーディーで、その対応の経過も見て知る事ができます。何にどう対処したか、何がまだ未対処なのかがすぐにわかるわけです。

Windowsは報告というかセキュリティ会社からの勧告があって修正が入ります。定例のWindows Updateの際にまとめてパッチが送られますので、修正頻度はLinuxと比較して低く数も出ないでしょう。当然こちらは発見された不具合にどれだけ対処したか、また何が発見されどのような問題があったのか等はMSの腹の中にあるので全てを外の人間が知る事はできません。極端な話、パッチの数も不具合の数もいくらでも誤魔化せます。MSが「パッチの数」を問題としているのであれば、実際には不具合が沢山あっても彼等の匙加減一つでいくらでも融通が効くわけです。

パッチの数での比較は無意味です。その無意味な比較でWindowsは安全と言ってしまうのだから、無闇やたらにLinuxは安全と曰う馬鹿と同じくらい悪質です。要は「実際にどれだけの不具合に対処したか」が重要であって、そこから不具合に対する姿勢と脆弱性の傾向が見られるわけです。わざわざパッチの数なんて比較して、「危険度が一定以上の脆弱性の数」を比較しなかったのかが不思議です。そこの不思議な行動に関してはツッコムまでもないと思います。まあ、自社の不利益になるような事は言わなくてあたりまえ、とだけ言っておきます。

Windowsは危険か、Linuxは危険か、といえばどちらもまだ危険な要素を含んでいると言えます。それも未知数です。規模が大きければ大きい程に潜在的な不具合は多いとされています。「未知」「潜在」という言葉が指す通り現状ではわからないわけです。使われている内に誰かが見付ける、第三者が検証する、自社(自分)で検証するといった工程を経て発見にいたるわけです。パッチの数が多い少ないという事柄が単純に指し示すものというのは「検証と修正作業にどれ程の力をいれて未知の不具合に対して取り組んでいるか」であって、危険かどうかを示しているわけではありません。さらに何が大事かと言えば迅速かつ的確な対応と、それを行う努力(企業においては企業努力)なわけです。

MSが本気で「パッチの数が少ないからWindowsの方が安全なんだ」と思っているとしたら物凄く怖いです。世の中はWindows中心で動いてますから、恐しい世の中になっていくんじゃないかと思います。理由は単純、まず愚かです。"MS流の安全性"を維持するために、MSはパッチの数を減らすでしょう。MSにとっては"パッチの数が少ない事"が安全の証なのですから、不具合の数や危険度なんて問題じゃないと。

無論、賢く強い会社MSが「本気でそんな事を思ってるわけがないです」。このパッチの数云々というのは「愚かな大衆」に向けたパフォーマンスであると思います。大衆をどれだけバカだと思ってるかは、MSの発言そのものが彼等の大衆への意識を物語っています。彼等は大衆を「無知で企業の言う事を疑いもなく鵜呑みにする木偶」程度にしか考えていないのでしょう。往々にしてお金持ちの大企業というのは大衆を軽視しがちです。自身も会社という枠から出た瞬間に大衆の一人である事を忘れています。特に大層な肩書がついている人ほど。

ただ、いずれにしても大衆に対してこのような"パッチの数が問題"という意識付けを行おうという時点でMSの今後の方針としては「パッチの数を減らしていく」というのは間違いないでしょう。理由は単純、数を出せば自身の発言が元となって大衆から批判を受ける事になります。危険度の高い不具合を別の誰かに見付けられて、修正するよう勧告されなければ意地でも隠し通すか何かのパッチの中でこっそりまとめて修正するといった形になっていくのだと思います。

ソフトなんて作るだけじゃ、全行程の半分も終っていません。残りは全て保守になります。一度で完璧な物を作りあげるなんてどんな天才でも困難です。未知の不具合や脆弱性に対してどれだけ真剣に取り組むかが大事です。そもそもパッチの数なんて問題にして「安全です」なんて曰ってしまう以上、不具合を隠している可能性もあり信用がおけなくなります。ほんとに安全ならそれを実感できる形で示してくれとしか言えません。不透明な部分があってそこを明かさない以上は、我々に見える(実感できる)事で、不具合をマジメに潰している事を証明してもらわないとなりません。それが出来なきゃ何をどう言い繕っても無駄です。逆に「MS信奉者」以外の人間から見れば「非常に疑わしい」というわけです。少なくとも現状におけるMSは以前と比較してマジメにセキュリティに取り組むようになりつつあると思っていたのですが、こういう発言をされるとそういった事さえ疑わしくなってしまいます。もう少し発言に責任を持っていただきたい。シェア率が高ければそれだけ影響力があるんだから、もう少し誠実になってほしいです。なによりこの一連のMSの発言は「既存のWindowsユーザーに対する裏切り」であると私は考えます。私なんかよりも今現在もWindowsを使い続けているユーザーの方がMSの政策の影響をモロに受けるので、被害は甚大です。彼等から見れば個々のために物を作って売っているのではなくハードベンダへのOEM供給の方が遥かに優先順位が高いため、個々を軽視しているんでしょうが、それは間違いです。最大規模のOSメーカー、シェア率9割という看板と、大衆に刷り込まれた「みんな使っているから」という群集心理も、あまりに不誠実な対応が続けば「いずれは崩れさる危険性がある」という点を理解すべきです。不満が募って我慢できなくなってからでは遅いのです。ただ他社製品を選ぶ事のできない現状というのがMSのそういった態度を助長している部分もあり、今後も悪化していくものと思われます。さすがに今回の発言に関しては彼等を弁護する余地は全くありません。不誠実極まりないとしか言えません。

なぜ私が、ここまで怒っているか。彼等は「セキュリティ対策に本腰を入れる」と言っていました。それは自主的に不具合を探し修正していくものだと思っていました。彼等は定期的なセキュリティfixをする事である程度私に「セキュリティ対策をしている姿を見せました」。本腰を入れるには遅いスタートであったが、これまで殆ど何もしていないも同然だった会社が少しばかりでも努力を始め「まじめに取り組む」と言っている。時間はかかってもMSが本気であればきっとそう遠くない将来Windowsも良いOSになるんだろう、と思っていたのが今回の発言で覆ったわけです。だから怒ります。言ってる事が食い違ってる。あんたらは本当にマジメに取り組む気があるのか、と。

Linuxは単純に不具合の数も対処したかどうかも、その内容も見る事ができます。優先度の違いはありますが、小さな事から大きな事まで報告された内容も対処した事も公開されています。Linuxに限らず私はオープンソースのOSを信用する事にします。信用に値する要素はこちらの方が圧倒的に多いように感じるからです。少なくとも不誠実な発言でユーザーを裏切ったりはしません。

こちらはある意味、信用を得るのは比較的楽だと言えます。隠しだてする術がなく全てが明かですから。目に見える部分だけが真実です。逆に隠したりすると、各開発者間での共同開発が困難になりますので隠そうと思っても隠せませんし、ソースが公開されている以上、複数の技術者の手にかかれば不具合なんか隠しようがないです。

このビル・ヒルフ氏の主張が彼自身の真意そしてMSの総意でない事を切に願うばかりです。もしこれが真意かつ総意であるならば、愚かで軽率で消費者を軽視したブラック企業としか言えません。彼等は軽い気持ちで「こう言っときゃ納得する奴もいるだろう、言うだけなら安いし言うだけ言っとけ」程度であれば救いようはあります。本気でそう思ってるなら怖いとしか言えません。
posted by bf109 at 03:07| ☁| Comment(0) | TrackBack(2) | 外界での出来事 | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント:


この記事へのトラックバック

マイクロソフトが月例パッチのような対応をする理由
Excerpt: マイクロソフトがパッチの月例リリースをしている。 違和感を感じていたが、こういう...
Weblog: IGALOGる
Tracked: 2005-02-19 22:29

【戯言】WindowsとLinuxのセキュリティ強度はどちらが上か?なーんて(笑)
Excerpt:  少し前の記事から。 「パッチの数はWindowsよりLinuxが多い」--Windowsの安全性をアピールするマイクロソフト - CNET Japan  本人がそう語ったのか、多少なりとも編集が入っ..
Weblog: *mt::MRU
Tracked: 2005-03-06 23:05