PR

 このOpenSSLに2014年4月、「Heartbleed(心臓出血)」と呼ばれる脆弱性が見つかった。OpenSSLの「heartbeat」と呼ぶ機能に脆弱性があり、Webサイトの秘密鍵などが外部から盗み出される恐れが生じた。

 インターネットのセキュリティの根幹を支えていると言えるOpenSSLの最大の問題点は、開発体制が貧弱だったことだ。

 OpenSSLの開発は英国にあるOpenSSLプロジェクトが主導していたが、同プロジェクトは財源が乏しく、OpenSSLの開発にフルタイムで参加していたのはわずかに1人。ソースコードの開発に貢献するコントリビューター(貢献者)の数も10人強にすぎなかった。このように貧弱な開発体制だったため、2012年から存在していたHeartbleedの脆弱性に、開発コミュニティーは2年近く気付かなかった。

OSS抜きでは競争に取り残される

 Struts 1とOpenSSLは、保守が満足に行われない「寿命切れ」の状態になっていたにもかかわらず、ユーザーが気付かないまま様々なシステムの中で稼働していた。このような「既に死んでいるにもかかわらず、様々なシステムの中で稼働しているOSS」のことを、本特集では「ゾンビOSS」と呼ぼう。

 ゾンビOSSはやっかいな問題だ。なぜならOSSは開発コミュニティーの事情によって突然「ゾンビ化」することがあるからだ。しかもほとんどのOSSは海外で開発されているため、日本のユーザーに事情が伝わりにくい。

図3 OSSのメリットとリスク
「コストが安い」は時代遅れ
図3 OSSのメリットとリスク
[画像のクリックで拡大表示]

 とはいえ、ゾンビOSSの脅威が深刻だからといって、「OSSを使わない」という選択肢はもはやあり得ない。OSSの位置づけが過去とは大きく変わっているからだ(図3)。