イーロン・マスク氏は1ヶ月以上前、Twitter買収後、透明性向上のためTwitterのアルゴリズムをオープンソース化すると表明した。この決定は必然的に激しい議論を巻き起こし、セキュリティ専門家の間ではアルゴリズムのオープンソース化がセキュリティにプラスの影響を与えるかどうかについて意見が分かれた。

一部の批評家は、Twitterをオープンソース化するというマスク氏の構想は、同サイトでのLog4ShellとSpring4Shellの使用を浮き彫りにする可能性があると指摘している。
これはある程度の脆弱性です。しかし、支持者たちは、この決定によってプラットフォームのセキュリティがさらに強化される可能性があると主張しています。

海外メディアのVentureBeatは、マスク氏によるTwitterアルゴリズムのオープンソース化が及ぼす潜在的な影響についてまとめています。考えられるマイナス面の一つは、攻撃者に悪用される機会が増える可能性があることです。コードのオープンソース化に伴う最大のセキュリティリスクの一つは、脅威アクターにセキュリティ上の脆弱性を分析する機会を与えてしまうことです。

バルカン・サイバーのシニアテクニカルエンジニア、マイク・パーキン氏は、「Twitterの推奨アルゴリズムを公開することは諸刃の剣です。コードに重点を置くことでセキュリティは向上しますが、悪意のある研究者が通常はアクセスできない情報を得る機会も生まれてしまいます」と述べています。さらにパーキン氏は、推奨アルゴリズムを公開することで、プラットフォーム上で「誤情報」がさらに拡散する可能性があると指摘しました。

一方、オープンソースアルゴリズムの支持者は、透明性の向上が脆弱性の軽減につながると主張しています。一部のアナリストやセキュリティ専門家は、プラットフォームの透明性の向上は、プラットフォームのユーザーベースが脆弱性管理に関与できるようになるため、プラスに働くと述べています。脆弱性を管理する小規模な研究チームを抱えるTwitterとは異なり、オープンソースコードであれば、数千人のユーザーからプラットフォームへの支持を得ることができ、セキュリティと整合性の向上に貢献できる可能性があります。

Bugcrowd の創設者兼 CTO は、ソフトウェアの脆弱性を発見する際にはソース コードへのアクセスが重要であり、「内側から外側へ」のアプローチであると考えています。
外から内への視点は、単に外から内を見ただけの視点よりも常に有用で、より完全なものとなる。「私たちはクラウドソーシングによるセキュリティテストでこれを常に確認してきました。Twitter のセキュリティ上の優位性は、修正が必要な問題についてのクラウドからのより徹底したフィードバックから生まれるでしょう。」

この措置により攻撃者に脆弱性を特定する機会が与えられることは間違いないが、セキュリティへの影響がプラスになるかマイナスになるかは、最終的にはTwitterが脆弱性情報に投資し、脆弱性が悪用される前に修正できるかどうかにかかっていると付け加えた。

オープンソースアルゴリズムの影響の全容は依然として不明ですが、組織はリスクを軽減するための簡単な対策を講じることができます。シノプシス・ソフトウェア・インテグリティ・グループのチーフ・セキュリティ・ストラテジスト、ティム・マッキー氏は、オープンソース・ガバナンスの取り組みがリスクへの効果的な対応に役立つと提言しています。「企業は、Twitterのオープンソース技術を支えるオープンソースコンポーネントを特定し、それらに対してオープンソース・ガバナンスの取り組みを実施することで、リスクの一部を軽減できます。こうした取り組みは、これらのコンポーネントの新たな脆弱性の開示を積極的に監視し、企業がリスクの変化に迅速に対応することを可能にします。これは、一部の企業がLog4Shell脆弱性の影響を最小限に抑えるために採用しているプロアクティブ・モデルに似ています。」

Mackey 氏は、企業が Twitter テクノロジーをサポートするオープンソース コンポーネントに対してオープンソース ガバナンス プログラムを実装し、新たな脆弱性の開示を積極的に監視して、セキュリティ チームが脆弱性に対処できるよう準備することを推奨しています。

この記事はOSCHINAから転載したものです。

タイトル: オープンソースの Twitter アルゴリズムのセキュリティ上のリスクは何ですか?

この記事のアドレス: https://www.oschina.net/news/197827/open-source-twitter-security-risks