GNU/Linux セキュリティについての共同声明

2004 年 4 月 4 日

要旨

GNU/Linux のベンダーである Debian、Mandrake、Red Hat 及び SUSE が協力し、Forrester の "Is Linux more Secure than Windows?" という報告に対して共同声明を出しました。 報告は重大な脆弱性に対するベンダーの対応の質的評価を含めると主張しているにもかかわらず、 すべての弱点をユーザへのリスクの大きさに関係なく等しいとみなしています。 結果として、Forrester によって出された結論は、 どれほど迅速に重大な脆弱性が修正されているかという、 顧客が下している実用面での評価を顧みない、 実際の価値を極めて低く扱うものでした。

全文

GNU/Linux ディストリビュータの Debian、Mandrakesoft、Red Hat 及び SUSE のセキュリティ対応チームは、その製品の脆弱性についてのデータの収集、 訂正にあたって Forrester を補助しました。収集されたデータは、Forrester の "Is Linux more secure than Windows?" というタイトルを付けられた報告で使用されました。報告の基本となっている GNU/Linux についての脆弱性データが十分に正確かつ有益であると考えられるのに対して、 Debian、Mandrakesoft、Red Hat 及び SUSE (以後「私たち」とします) は、報告で出された結論の正確性について懸念しています。

私たちは、共同声明の形で Forrester に対応することが、ユーザシップ 及びフリーソフトウェアコミュニティにとっての利益になると信じます:

私たちは、2004 年 2 月、Forrester に対して、その生データの改良を手助けすることを申し入れました。 Forrester は一年間 (2002 年 6 月から 2003 年 5 月まで)、GNU/Linux に影響する脆弱性についてデータを収集し、 ユーザに修正を提供するのにどれくらいの日数を要したかを調べました。 ここで重要なことは、 脆弱性の根本的なデータセットが正しかったことを確認することだけではなく、 職業上のフリーソフトウェアのセキュリティ分野の対応処理における特殊技術的、 組織的な配慮を明確にすることでもあります。 この専門知識は製品に高い価値を付加するので、 ユーザからは非常に高く評価されていますが、 脆弱性データの分析に使われた方法ではこの価値のほとんどが無視され、 誤った結論につながっていることが分かります。

私たちのセキュリティ対応チームとセキュリティに特化し、名声を上げている組織 (CERT/DHS、BSI、NIST、NISCC など) は脆弱性について情報を交換し、 評価と手続きにおいて協力して対応します。 各脆弱性は個々に調査され、評価されます —脆弱性の重大度は、それから他と同様に危険性と影響に基づいて、 ほとんどは技術的な、弱点と影響するソフトウェアの特性から、 個々のチームにより判断されます。この重大度は、 対応中の脆弱性と他の現存の脆弱性との優先度の比較材料に使われます。 重大な欠陥については数時間で対応できていることがユーザは分かるでしょう。 この優先度付けは、より重要な問題の解決を先に処理させ、 重大性の低い問題への対応をしばしば遅らせることを意味します。

Forrester の報告はそう主張していますが、 セキュリティ欠陥が公知となってからベンダによる修正が入手可能になるまでの 経過時間の評価にあたって、その区別をしていません。 この報告はそれぞれのベンダに対して単純な平均値である「全体 / 危険の配布日数」 を示すに過ぎず、ユーザの実感から全くかけ離れたものとなっています。 この平均値は、脆弱性の影響を勘案せず、すべてを同等に扱うという過ちを犯しています。 脆弱性がユーザに対してすべて同じ影響があるわけではありません。 第三者からのデータにより脆弱性に重大性を割り当てる試みもなされましたが、 「重大性の高い」脆弱性の分類が不十分です。 特定のセキュリティ組織による脆弱性の単なる発表が、 必ずしもその脆弱性が深刻であるとするわけではありません —同様に、ネットワーク上 (リモート) で弱点を利用できることが脆弱性の重大度と無関係なこともよくあります。

この報告はフリーソフトウェアのベンダと 単独のクローズドソースのベンダを同じように扱っていない、と私たちは考えます。 フリーソフトウェアは、それが定義する基準において、その多様性と選択の自由さが知られています。 これらの基準の実装の多くは主としてデスクトップ 及びサーバとしての使用を目的として提供されています。 このことでユーザはベンダの基準よりも自分の基準に基づいて、自由にソフトウェアを選択できます。 多様なソフトウェアパッケージが入手可能であることに加えて、 ソースコードのオープン性、透明性、そして追跡可能性は付加価値をもたらします。 最後に、ある一つのソフトウェアベンダが報告の期間中にその欠陥を 100% 修正したという主張は、この報告が示す結論のより綿密な調査の動機とすべきです。

署名者
Noah Meyerhans, Debian
Vincent Danen, Mandrakesoft
Mark J Cox, Red Hat
Roman Drahtmüller, SUSE

追加情報:

Javier Fernández-Sanguino Peña さんは 2001 年に調査結果まとめ、Debian セキュリティチームが、Bugtraq リストに送られた脆弱性の修正に平均 35 日かかっていることが分かりました。しかし、脆弱性の 50% 以上は 10 日以内という期間で修正され、15% 以上は報告が発表された日に修正されています! ただし、この分析ではすべての脆弱性が同じように扱われました。

彼は、2002 年 6 月 1 日から 2003 年 5 月 31 日までの間に発見された脆弱性を基に再調査し、 公開されてから修正を含めた勧告を発表するまでの遅延の中間値が 13.5 日であることが分かりました (平均は 31.10 日です)。 この分析でも、勧告は異なる優先度では分類されませんでした。