セキュリティ
「Linuxはセキュリティが強く、Windowsはセキュリティが弱い」
このような話を耳にすることが多くありますが、これは本当なのでしょうか?。なぜ、そう言われているのでしょうか?
私には2つのWindowsのセキュリティ インシデントが印象に残っています。
一つは、2001年7、8月にWindows 2000/NTを対象にしたCode Redというワームが新聞にも取りあげられるほどの猛威をふるったことがあげられるでしょう。
しかし、Code Redが突いてきたセキュリティホールに対する修正パッチは1ヵ月程前から提供されていました。
それから、2005年5月に某価格比較サイトが改竄される事件がありました。そのプラットフォームがWindows Serverを利用していたといことが報道されたので、Windows Serverは弱いという印象を受けたのかもかもしれません。私自身もこの報道を耳にしたときは「Windows Serverを使ってるからだよ」と根拠のないことを周囲の人たちと話したことを覚えています。しかし数日後に、この事件の真相はSQLインジェクションであることが判明しました。Windows Serverにとっては完全な冤罪でしたが、初期報道のせいでWindows Serverが弱いという印象が与えられてしまったものをぬぐい切れなかったというのもあるかもしれません。
ところで、先月報道されたGoogle社の中国撤退騒動。事の発端は中国の人権活動家のGmailアカウントへの不正アクセスです。中国撤退の話題性が大きすぎて、セキュリティ インシデントであることを見逃しがちですが、あのGoogleでさえセキュリティ インシデントは発生します。ちなみに、GmailのWebサーバーはLinuxで稼働しているようです。
Google社の件ではちょっと意地悪な書き方をしていますが、実際にはこれだけの情報ではLinuxの脆弱性によるものなのか?、Gmailの脆弱性なのか?、アクセスされたユーザーのパスワードが簡単なものだったのか?というのはわかりません。
情報を集めていくと、フィッシングなどを利用した攻撃が行われていたというのもあるので、何らかの方法でパスワードが漏れてしまったのかなと想像しますが、LinuxやGmailの脆弱性がないことを証明するものでもありません。
過去のセキュリティ インシデントから判断する場合は、問題が発生したときの情報だけでなく、少し時間がたってからの詳しい情報も集めるようにしましょう。
ここで私が言いたいことは、Linuxはセキュリティが強くWindowsはセキュリティが弱いという印象には根拠がないだろうということです。
私自身もかつては、Windowsは弱いと思っていましたが、今現在のWindowsでも弱いと言える根拠は持っていません。
WindowsはLinuxなどの他のOSと比べてウィルスが多いと言われていますが、これは事実です。ウィルスの作成者は、被害を大きくするために、多くのユーザーがいるプラットフォームを狙います。しかしこれはOSが強い弱いということには一切関係が無く、LinuxなどであってもWindowsと同等のウィルス対策をしなければいけません。逆の言い方をすると、Windowsは市場が大きいためにアンチウィルスソフトが充実していますが、Linuxは選択肢が限られます。
また、マイクロソフトはWindowsのセキュリティ情報の提供はもちろん、啓蒙にも力を入れています。マイクロソフトセキュリティホームでは、セキュリティ情報の提供だけでなく、セキュリティの基礎から対策までを分かりやすく解説しています。なおドキュメントについては次回詳しく紹介する予定です。
今回は全体的にWindowsを擁護する書き方になってしまいましたが、世間での印象に対して『WindowsとLinuxのどちらがセキュリティに強いかを判断することは難しいことだ』と言いたくてこうなってしまいました。
多くのセキュリティインシデントはアプリケーションの脆弱性によるもので、OSに起因するものは限られています。
そして今後も多くのセキュリティ インシデントが世の中を賑わすことがあるでしょう。恐ろしいのは、発見されていない脆弱性の深刻度の大小は、問題がおきてからでないとわからないということです。
そこで大切なことは、新たに発見された脆弱性に対して早めにフタをしていくことです。
Windows UpdateやRedhat Networkによるセキュリティパッチの適用はもちろんですが、皆さん自身がセキュリティ情報へのアンテナを張り巡らすことが重要だと思います。
