セキュリティのオープンソース化に挑戦

　セキュリティは、オープンソースの大きな弱点と言われている。

　実際には、現実的にセキュリティホールが存在するのではなく、メタ的なセキュリティホールがあるということなのだが、われわれはそれをセキュリティホールと呼んでいるのだから、やはりこれはセキュリティホールなのだ。

　オーストラリアでは先日、こうしたセキュリティホールをめぐり騒動が起こった。オープンソースコミュニティの「沈黙しない少数派」たちが、オープンソースの安全性に懸念を示したオーストラリア税務局CIOのBill Gibson氏に遺恨を抱き、個人攻撃を加えたのである。

　セキュリティスキームがオープンソースであるならそのスキームは脆弱であるという前提が、オープンソースのセキュリティホールをメタ化している。すなわち、実存するソフトウェアもまた脆弱なソフトウェアなのである。矛盾した論理と言わざるをえない。

　こうした事情に鑑みるに、Red Hatが最近行った発表は注目すべきものだと思う。同社は、認証システムをオープンソース化したのだ。

　当該のコードはもともとRed HatがAOLから取得したもので、そのうちのいくつかは、「Apache」Webサーバもしくは「Red Hat Directory Server」の一部であったため、すでにオープンソースだった。

　今回の重要な取り組みを先導したのは、Delta Air LinesからRed Hatへ移籍し、最高経営責任者に就任したJim Whitehurst氏である。

　もっとも、これでオープンソースとセキュリティの間の矛盾が消えてなくなるわけではない。差別が存在していることを認識したからといって、差別がなくならないのと同じ理屈だ。

　それでもわれわれは、第一歩を踏み出したのである。