Cox氏がセキュリティに関心を持ち始めたのは約12年前、米国立スーパーコンピュータ応用研究所(NCSA:National Center for Supercomputing Applications)のNCSA HTTPdというWebサーバでセキュリティ上の問題を発見したときからだという。「その後すぐに私はヨーロッパでC2Netの活動を立ち上げ、十分なビット長のSSL暗号化を世界中に広めることができるように、特に米国外向けのStronghold Webサーバの開発を進めた。やがてC2NetはRed Hatに買収され、この場に私がいるというわけだ」。Cox氏はRed Hatでのセキュリティ業務に加え、仕事以外の時間をApache Software FoundationのセキュリティチームとOpenSSLグループでの活動に充ててもいる。
セキュリティ対応チームのメンバーには、どんな仕事が課せられるのだろうか。Cox氏によると、こうしたチームは脆弱性の確実な解決に責任を負っているという。「そこには、研究者との連携や我々に悪影響を及ぼす問題の監視と検知、優先順位付けや調査、リリース過程の監視といった数々の仕事が含まれる」
また、セキュリティ対応チームのメンバーには、勧告を作成したり、脆弱性に関する顧客からの質問に答えたりする役目もある、とCox氏は話す。「昨年、我々は問い合わせ対応の98%を1営業日以内に成し遂げた」
Red Hatのような大手ベンダでは厳密にどれほどの人数がセキュリティの問題に携わっているのか、知りたい人もいるだろう。セキュリティに取り組むために何名が直接雇われているかについてCox氏が言及することはなかったものの、多くの場合は脆弱性の種類ごとに技術者を集めている、と彼は語った。
「Red Hatには世界各地の時間帯をカバーするために常勤の技術者が数多くいるが、より優れた人材を常に探し求めている。問題に対処するときには、開発や品質工学のチームからも特定の領域の専門知識を採り入れることになる。そのため、セキュリティの脆弱性に関わるRed Hat社員の数は毎週変わる」(Cox氏)
多くの場合、セキュリティチームは脆弱性に関する情報を一般の人々よりも早く入手する。実際のところ、Red Hatのセキュリティチームの場合は「その確率は五分五分くらいだ」とCox氏は言う。つまり、Red Hatには広く一般に知れ渡る前に脆弱性を解決できる時間的余裕が大抵あるわけだ。「前もって問題がわかっている場合は、同業他社との連携による適切なパッチの入手、類似したコードベースに同様の問題がないかの調査、念入りなテスト、影響を被る他のディストリビュータとのリリース調整といったことが可能になる」
しかし、たとえまだ公に知られていない脆弱性の問題であってもできるだけ早期の解決を試みている、とCox氏は言う。「実際、ここ2年間について見ると、我々が事前に把握した脆弱性の情報が世間に広まるまでの日数の中央値はわずか7日だった。危険性の高い一部の問題に限れば、その中央値は2日に縮まる」
脆弱性はどこから判明するのか
セキュリティの脆弱性の多くはどのようにして発見されるのだろうか。Cox氏は自身のブログで、2005年3月から2007年3月までの期間にRed Hatが得た脆弱性の情報の発信元を分析している。そこには、そうした脆弱性の情報が、公になる前にRed Hatに届いたかどうかも記されている。
Cox氏の分析によると、情報の発信元として一番多いのが他のFLOSSベンダであり、次に多いのがFirefoxのような上流にいるベンダからの報告だという。また、Red Hatでは世間に知れ渡る前にそうした情報を他のFLOSSベンダや上流プロジェクトから得ていることが多い。
ところで、そうした情報の発信者は、そもそもどのようにして脆弱性の問題を見つけ出すのだろうか。Cox氏によれば、その方法はいくつもあり、積極的な監視によって見つかることもあれば、他の問題に関するバグレポートからわかることもあるという。「上流に位置するプロジェクトやディストリビュータがときどき監査やコード解析ツールの実行を行っているほか、セキュリティに関する新手法によって問題が事前にわかったり、顧客のバグレポートからセキュリティに関わる因果関係が明らかになったりする場合もある」