Seifried氏は長年にわたり、Linuxセキュリティの世界でその名を高めてきたが、過去の業績にあぐらをかいたりはしない。現在氏は、iDefense/Verisignの技術チームに所属している。そこでは、「現在のセキュリティ上のあらゆる脅威を押さえておくことに、ほとんどの時間を費すことができる」そうだ。また、Seifried氏は、RiskBloggers.comという新しいサイトも手がけている。セキュリティとリスクに関する記事が掲載されている読み物ブログだ。
Q:Linuxのみを対象としたセキュリティ・リストの立ち上げを計画しているというのは本当ですか。
Kurt Seifried氏: ええ。「時間ができ次第」の話ですが。基本的には、すべてのベンダのリスト(DebianやらSlackwareやら)を1つに取りまとめたものになりますので、かなりの重複が生じることと思います。各ベンダが同じソフトウェアを出していることは多々あるからです。しかし、セキュリティ・アップデートを出す早さはベンダによって違いがあるので、注意を喚起する役割も果たします。
Q:Linuxの誕生から、もう15年になります。その間に、Linuxのセキュリティ面はどのように変わってきましたか。
Seifried氏:大きな成長を遂げました。SELinuxやStackGuard(以前はSubDomain)といったプロジェクトは、多大な影響を及ぼしています。
現在私のサーバではSELinuxを使用していますが、Apacheなどのインターネット向けサービスを確実に保護できています。また、ソフトウェアの数がかなり増えたという点も挙げられます。私が始めたころ、Linuxの平均的なインストール容量は50~100MBで、これは当時利用可能なハード・ドライブの約50~70%でした。現在私は、おおむね1~2GBのソフトウェアをインストールしています。これは、利用可能なハード・ドライブ容量の1%未満です。複雑さやサイズが増すということは、攻撃を受けるおそれのある潜在的なセキュリティホールも増えることになります。
Q:昨年Microsoftは、Linuxのセキュリティは「絵空事(myth)」だと述べ、Linuxはミッション・クリティカルなコンピューティングで使用するには「未熟すぎる」と主張しました。真実と言えるでしょうか。
Seifried氏:Microsoftは何やかんやと主張します。大企業の大半は何やかんやと主張します。たとえば、「Unbreakable」と謳ったOracleの宣伝がありました。Microsoftは以前、Windowsのバッファ・オーバーフローの問題は解決し、今後はその問題は起きないと述べていました。これは、この業界の気質なのです。泥の塗り合い(いわゆるFUD)があちこちで見られます。
Q:絵空事かどうかはさておき、現在Linuxはこれまでになく広まってきています。特に、ミッション・クリティカルなコンピューティングの分野においてです。このように普及が進んでいることによって、セキュリティ面で何か変化は生じますか。
Seifried氏:はい。最大の変化は検査のレベルだと思います。たとえば、最近のMonth of Kernel Bugsでは、Linuxカーネルでの各種ファイル・システムのサポートに関してさまざまな問題が見つかっています。ローカルでのDoSやコード実行につながり得る問題です。
たとえばOpenBSDプロジェクトのように、コード・ベースを徹底的に検査するものに比べると、Linuxのコード・ベースはその点に関してまだ手落ちがあります。とはいえ、だんだん改善されてきていますが。
Q:現在のLinuxセキュリティに関する大きな問題は何ですか。
Seifried氏:コードの品質が、依然として非常に悪いです。バッファ・オーバーフローのようなおなじみのセキュリティ問題や、単純なファイル作成の問題といったものが、いまだにはびこっています。20年も前からあるプログラム・エラーがいまだに発生するとは、まったくもって困ったものです。