McAfeeの新しいセキュリティ専門紙: 名前倒れのSage
創刊号で明らかになったことは次の3点。第1は、今日のマルウェアには財政的な動機があること。これはもう言うまでもないだろう。第2は、McAfee Avert研究所が全面開示はよくないと考えていること。第3は、残念ながら、Sageの編集部員がオープンソースソフトウェアの開発とプロプライエタリソフトウェア界に蔓延するセキュリティ問題をない交ぜにして構わないと思っていること。
どうすればそうなるのか。まあ、考えられる理由の1つは、オープンソースの意味を再定義しているからだろう。創刊号巻頭の「Editor’s Note」の中でKevin J. Soo Hooはオープンソースについての見解を次のように述べている。
今回の号で、我々はオープンソースの負の側面に焦点を当てる。オープンソースとは、ソースコードとアイデアをタダで何の条件も付けずに共有することだ。我々はオープンソース活動の社会的規範や手法がマルウェア作成コミュニティに侵害され、永久に危険で有害な創作物の開発に応用されてきた経緯に注目する。
この話は、ハンプティダンプティのように聞こえないか?ルイス・キャロルの『鏡の国のアリス』の有名な一節を覚えておられるだろうか。ハンプティダンプティはアリスに「俺の言葉は俺がこうだと決めた意味を持つ」と語る。Kevin J. Soo Hooはオープンソースを再定義することで同じ特権を要求しているのである。
しかし、その文学的技法としての有効性は認めよう。攻撃すべき藁人形を作るためにオープンソースを中傷するという意味では確かに目的を果たしている。ただし、世界中の一般コンピュータユーザを苦しめる大量の災禍の核心から目を逸らすものではあるが。上述の状況にこそ我々の永久なる存在理由があるという意味でなら尚更である。
些細なこと、些末な言説を執拗に叩くつもりはない。件の用語を再定義することでSageの編集者たちは次のようなことを言うことができるようになる。
オープンソース哲学の信念は、多くの熱烈な支持者の中で、ほとんど宗教的情熱と言えるものになりつつある。しかし、強力な道具が常にそうであるように、オープンソースも悪意をもって、特にセキュリティ領域で利用される可能性がある。テロリスト訓練マニュアルやインフラ攻撃ガイドが公開されるのは自由でオープンな情報共有の帰結である。特にコンピュータを含むネットワークセキュリティの領域では、脆弱性や脅威に関する情報を共有する際の望ましい情報公開度やマルウェアの作成に果たすオープンソースの役割が重要な論点となる。
この編集組織の下で、Michael Davisのような記者はオープンソース開発に従来の開発との決定的な違いがあると勝手に力説する。その主張はこうだ。
- 仕様を決める人とコードを書く人が同じである。
- 貢献者は自分が修復したい機能やバグを自分で選ぶ。管理者が作業を割り当てることはない。
- 貢献者に役割が直接割り当てられることはない。品質保証など、コードベースの特定分野に専念する人が必ずしも存在しない。
- プロジェクトの計画、マイルストーン、成果物が設定されない。リリースは随意的で、普通は新機能やバグ修正を契機に行われる。
確かにオープンソースプロジェクトによっては、上に列挙された事項が一部当てはまることもあるが、オープンソースとフリーソフトウェアに対して普遍的に成立するものではない。IBM、Oracle、Hewlett-Packard、その他多くのグローバルIT企業に雇われ、その管理下で仕事をする開発者たちはApache、Linuxカーネル、ジャーナルファイルシステムといったプロジェクトのために日々オープンソースコードを生み出しており、そこでは従来の管理手法に基づいて計画、構造設計、基本設計、テストが行われている。GNOMEのように、従来の管理手法を採用しながら独自のマイルストーンを設定しているプロジェクトも存在する。Davisは自らが俎上に載せたオープンソースプロジェクトのことをよく知らないか、オープンソースを故意に素人臭く見せようとしているのだ。
先週の話の中でMarcusは、Sageの内容の一部は論争の種や批判の的になるかもしれないが、もっと注意深く読めばSageが決してFUDを流布しようとしていないことがわかると釈明した。おそらく彼は、創刊号の随所に見られる挑発的な見出しや副見出しのことを言っているのだろう。
例えば、表紙を見ると「オープンソースの落とし前」(Paying a price for the open-source advantage)という表現に目が留まる。「金で買えぬものなし」(Money Changes Everything)という記事には「オープンソースモデルで儲けるマルウェア作者」(Malware authors leverage open-source model for profit)という副見出しが付いている。そのほか「Windows Rootkitにおけるオープンソースソフトウェア」という記事や、「オープンソースは本当にオープンか」、「このワームがAppleを頓挫させるか?」といった見出しがある。
思うにSageは次の点で正しい。おそらく、この一点のみだが。つまり、オープンソースの方法論によってマルウェアの品質が改善され、その製品化に要する時間が短縮されたことだ。ただし、これは従来のソフトウェアアプリケーションにもそのまま当てはまる。
フリーソフトウェアとオープンソースについて正確な情報を与えられていない典型的なWindowsユーザは、Sageの話を鵜呑みにするものと思われる。その欺瞞を到底理解できず、そうした悪のオープンソースや悪の混ざったMac OS Xよりも、WindowsとMcAfee製品のようなプロプライエタリソフトウェアを使うことに心温まる思いを感ずるからだ。Windowsの業界紙やMicrosoftの広報担当者もこれを気に入るに違いない。近い将来、Sageから入念に選ばれた内容が、Microsoft.comやMicrosoftの広告の中で引用されることになるだろう。
しかし、オープンソースソフトウェアや、コンピュータセキュリティの世界における全面開示の議論に精通していれば、Sageの主張が一方的で、現実を見ていないことがよくわかるだろう。オープンソースは、Microsoftのセキュリティ問題と比べるべくもない。McAfeeのビジネスモデルは危険の巣が溢れることを前提にしているが、現実の問題や根本原因に近づくことを避けようとしている。McAfeeがこれらの問題に取り組む姿勢は、AIDSの脅威が消えて欲しいと願う製薬会社のそれと同じである。
この創刊号でSageは不誠実の一線を越え、マルウェアのあらゆる災禍がオープンソースに起因するとの話をでっち上げようとしている。口先だけか? 然り。見かけ倒しか? 言うまでもない。Sage(賢明)か? 否。
NewsForge.com 原文
