Windosw vs Linux:セキュリティに関する真実 | ScanNetSecurity
2024.05.05(日)

Windosw vs Linux:セキュリティに関する真実

John Lettice
2004年10月22日(金)15:30 GMT

国際 海外情報
facebookLINE
John Lettice
2004年10月22日(金)15:30 GMT

 Windows のセキュリティ問題に関する報道について(たとえセキュリティに特化した最新のサービスパックを考慮したとしても)Windows が Linux に較べてセキュリティ上安全である、ということを証明しようとした Microsoft の決断は、調査会社 Forrester の支持を得たものの、ある意味無謀と言わざるを得ないだろう。Forrester は、Microsoft が不具合のパッチを迅速にリリースし、またその不具合はそう深刻なものではなく、その数も他と較べて少ないという主張を展開し、それを裏付ける数値を提示した。さらに、Windows をセキュリティの最悪地帯と思い込んでいる一般ユーザが存在する一方で、Windows のように膨大なユーザを抱えた場合、Linux にも多くのセキュリティ問題が発生するだろうという見解も示している。

 しかし、実際はどうなのだろう? 主張には、反論がつきものだ。しかし、現在までに Microsoft のセキュリティの安全性を主張する論旨に対して報告書の形式で系統立てて厳密に反論したものはない。そこで Nicholas Petreley 氏は新たに解析報告書を作成した。その報告書では、各主張に対して矛盾点を挙げて正しい見解を提示し、信頼できるデータで裏付けられた評価を下している。同氏は Linux '神話' を打ち消そうとする Microsoft の試みは、誤った論拠および極めて限定された統計的な解析に基づいていると結論付けた。読者の方は、そのような事は既に分かっていると思うかもしれないが、なぜそうなのか、そして事実は何なのか、その数値は何を意味するのか、文書はどこで入手できるのか、などを知るには同氏の報告書が有用と思われる。いみじくも、我々はその報告書を無償で閲覧できる。また PDF 形式で以下からダウンロードも可能だ。

http://www.theregister.co.uk/2004/10/22/security_report_windows_vs_linux.pdf

 同報告書のコピーを入手し、一読することを勧める。しかし、その内容を簡単に把握するために、我々は独自でその報告書の論点をまとめた。それは完全に Nicholas 氏の報告書に基づくものだが、我々がまとめた文書を鵜呑みにするのではなく、同氏の完全な報告書にも目を通しチェックすることをお勧めする。


●神話と事実

神話:Windows のみが最も攻撃を受ける。理由は、Windows が最大の標的だからだ。しかし、Linux ユーザ(あるいは OS X ユーザ)が増加すると、攻撃の回数も増加するだろう。

事実:Web サーバの場合、最大の標的は最適のインターネット・サーバ Apache だ。それにも拘らず、Apache への攻撃数は少なく、また大きな被害も発生しない。だが、Apache 関連の攻撃が Windows マシンに深刻な被害をもたらす場合がある。当然のことながら、攻撃は圧倒的なユーザ数を持つ Windows が標的だ。Windows の設計上の問題により、Windows は標的になりやすく、また極めて容易に被害を発生させ易い。さらに Windows は RPC などの機能を広範囲に使用しており(不必要な場合もある)、それが脆弱性をやみくもに増やす一因と思われる。Linux はそのような設計ではないため、脆弱ではない。たとえ、攻撃が成功したとしても、Windows と同レベルの単純なものではなく、さらに Windows と同レベルの被害をもたらすことはないと思われる。

神話:オープンソース・ソフトウェアはソースコードが広く入手可能であるため、本質的に危険である。他方、Windows の '設計図' は Microsoft が慎重に保護している。

事実:Linux のその '本質的な危険性' は攻撃という観点において、全く現れていない。Windows 固有のウイルス、トロイの木馬、ワームそして悪質なプログラムが無数に存在する。従って、たとえ百歩譲って前述の主張を受け入れたとしても、『オープンソース・ソフトウェアの方が危険の可能性がある』と言い換えた方が適切だろう。しかし、その主張は高名なセキュリティ専門家らの次の見解により、退けられる。それは『隠蔽あるいは秘密主義は、ベンダーが脆弱性を特定するのをより一層困難にし、さらに脆弱性が公にされないために放置されるというセキュリティ問題に繋がる可能性がある。他方、オープンソース・モデルはセキュリティ関連の情報が広範囲に公開され、不具合の特定および修正が容易に行われる。モジュールの設計は原則的にその方針を順守しており、その全体的なアプローチは '隠蔽によるセキュリティ' に主眼を置くセキュリティ業界の考え方とは大きく隔たりがあるものだ』。


[情報提供:The Register]
http://www.theregister.co.uk/

[翻訳:関谷 麻美]

(この記事には続きがあります。続きはScan本誌をご覧ください)
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec

《ScanNetSecurity》

PageTop

アクセスランキング

  1. ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

    ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

  2. クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

    クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

  3. 信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

    信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

  4. 山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

    山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

  5. 「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

    「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

  6. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  7. モリサワ他と損害賠償金4,500万円支払で調停成立~フォント不正コピーの印刷会社

    モリサワ他と損害賠償金4,500万円支払で調停成立~フォント不正コピーの印刷会社

  8. サイバーセキュリティ版「天国と地獄」~ サプライヤーへサイバー攻撃、身代金支払いを本体へ請求

    サイバーセキュリティ版「天国と地獄」~ サプライヤーへサイバー攻撃、身代金支払いを本体へ請求

  9. 「GMOサイバー攻撃 ネットde診断」Palo Alto、Cisco、SonicWall、OpenVPN に対応

    「GMOサイバー攻撃 ネットde診断」Palo Alto、Cisco、SonicWall、OpenVPN に対応

  10. ビッグ・ブラザー2024 ~ 監視カメラと画像分析 その高成長市場と国際動向

    ビッグ・ブラザー2024 ~ 監視カメラと画像分析 その高成長市場と国際動向

ランキングをもっと見る
ホーム 国際 海外情報 記事
TOP