[講演資料提供] OSS脆弱性の"裏事情" - OpenSSL等の脆弱性はなぜ収束しないのか?

[2016/04/14 08:00] ブックマーク ブックマーク

セキュリティ

オングス代表取締役、BSDコンサルティング取締役の後藤 大地氏。オープンソースOS「FreeBSD」のコミッターも務める

「目玉の数さえ十分にあれば、どんなバグも深刻ではない」――1999年に発行された著書『伽藍とバザール』に出てくる名言である。

最も成功を収めたOSSプロジェクトであるLinuxの開発を例に著者のEric S. Raymond氏が導き出し、多くの開発者から支持されてきた仮説だが、昨今のHeartbleed、ShellShock、Poodle、GHOST、FREAK、DROWNといった重大な脆弱性が報告されたことで、この考えが崩れ始めている。

特にOpenSSLに関しては、2014年4月のHeartbleed以降、ひっきりなしに脆弱性が報告されている。今年もわずか3ヶ月間ですでに2度も世間を騒がせている状況だ。

マイナーなアプリケーションならともかく、広く普及しかつセキュリティの基盤を担うソフトウェアでこうした脆弱性が見逃されてきたのはなぜなのか。

3月30日に開催したマイナビニュース・スペシャルセミナー『OSS重大セキュリティホールの”裏事情”』では、そうした問題の背景について、オープンソースOS「FreeBSD」のコミッターを務める後藤 大地氏が解説した。

講演では、OS内部の動作を把握し、OSSのコミュニティ活動についても良く知る後藤氏が、各重大脆弱性の内容をわかりやすく解説。さらに脆弱性が次から次へと発見される原因や、企業としての対策、さらには情報収集方法までも紹介した。

今回はその講演スライドを無料公開する。興味のある方は、本稿下部の「今すぐ資料をダウンロード」もしくは「ダウンロードBOXに入れる」ボタンからダウンロードしてほしい(要会員ログイン)。

講演資料は55ページ。OpenSSL、glibc、bash、SSL 3.0など、名だたるプロダクト/プロトコルの脆弱性を詳しく解説。脆弱性情報収集サイトも紹介しています。画像クリックで資料ダウンロード(要会員ログイン)

なお、講演の模様をまとめたPDF形式のレポートも別途無料配布している。興味のある方はこちらの記事からダウンロードしてほしい。

※ 本記事は掲載時点の情報であり、最新のものとは異なる場合がございます。予めご了承ください。

関連リンク

この記事に興味を持ったら"いいね!"を Click
Facebook で IT Search+ の人気記事をお届けします

会員登録(無料)

注目の特集/連載
知りたい! カナコさん 皆で話そうAIのコト
教えてカナコさん! これならわかるAI入門
対話システムをつくろう! Python超入門
Kubernetes入門
AWSで作るクラウドネイティブアプリケーションの基本
ソフトウェア開発自動化入門
PowerShell Core入門
徹底研究! ハイブリッドクラウド
[解説動画] Googleアナリティクス入門講座
マイナビニュース スペシャルセミナー 講演レポート/当日講演資料 まとめ
セキュリティアワード特設ページ

一覧はこちら

今注目のIT用語の意味を事典でチェック!

一覧はこちら

ページの先頭に戻る