OpenSSLを教訓に。業界大手、オープンソース技術を支援

OpenSSL脆弱性のリスクを教訓に、大手IT企業が開発支援に乗り出す。Linux Foundationが発表した。

[鈴木聖子，＠IT ]

　Linux Foundationは2014年4月24日、世界の情報インフラの中核をなすオープンソース技術を資金面で援助する「Core Infrastructure Initiative」の創設を発表した。SSL／TLS暗号化ライブラリ「OpenSSL」の脆弱（ぜいじゃく）性が深刻な影響を及ぼしている事態を教訓として、Amazon Web Services（AWS）やグーグル、マイクロソフトなどの大手がOpenSSLをはじめとする重要プロジェクトのセキュリティ対策をバックアップする。

　同イニシアティブはAWS、シスコシステムズ、デル、フェイスブック、富士通、グーグル、IBM、インテル、マイクロソフト、ネットアップ、ラックスペース、ヴイエムウェアなどの大手が参加する数百万ドル規模のプロジェクトになる。Linux Foundationと協賛各社、およびオープンソースソフトウェア開発者で構成するグループが基金の運営に当たる。

　支援対象となるのはコンピュータやインターネットの中核をなすオープンソースプロジェクトで、フルタイムで従事できる開発者の確保の他、セキュリティ監査、コンピュータやテスト用インフラ、出張や会議などの経費をサポートする。

　まずはOpenSSLを第1の支援候補とし、同プロジェクトが必要な人材を確保してセキュリティ強化やパッチ対応のための資金を受け取れるようにする。

　「Heartbleed」と呼ばれる今回の脆弱性を巡っては、OpenSSLのようなオープンソースソフトウェア開発プロジェクトの抱える問題が浮き彫りになった。OpenSSLが寄付などを通じて得る収入は年間2000ドル程度にすぎず、フルタイムで従事する開発者は1人だけだという。今回の脆弱性は、2年前から存在していたと伝えられている。

　「我々の世界経済は多くのオープンソースプロジェクトの上に成り立っている」（Linux Foundation）。しかしソフトウェアが複雑性を増し、開発やメンテナンスが難しくなる中で、OpenSSLのようなプロジェクトはその重要性に見合ったサポートを受けていなかったと指摘する。

　そうした事態の再発を防ぐため、イニシアティブでは重要プロジェクトのニーズを積極的に見極めて支援していく方針。「Linux Foundationのような中立組織が基金を集めることで、オープンソースプロジェクトの独立性とコミュニティベースのダイナミズムを保ちながら、業界が効率的にプロジェクトをサポートできる」と説明している。