お知らせ

  • パソコン関連

ソフトウェアの脆弱性とは

noimage

ソフトウェアの脆弱性とは

OpenSSLの脆弱性が大きく取り上げられている中、WindowsXPも公式に脆弱性への技術サポートが終了する事になりました。 この脆弱性とは、いったいどうして発見されるのでしょうか。 なぜ脆弱性が発見されるとよくないのでしょうか。 ソフトウェアの脆弱性とは ソフトウェアの脆弱性とは、簡単に説明すると、ソフトウェアの欠陥です。 現在話題になっているOpenSSLを例にとります。 OpenSSLはサーバーとクライアントの間、Webサーバーと、Webブラウザの間の暗号化を行うものです。 この暗号化は、双方に保存された鍵ファイルがなければ、お互いのデータを暗号化以前に戻す事ができない事が基本の機能です。 インターネットの通信は、突然片方から切断する事、回線が遅くなってしまうこと、などを十分含めて設計を行わなければなりません。 OpenSSLはその機能を拡張していく中で、Heartbeat(心拍)というサーバーとクライアント間の接続を長く保持する機能を持ちました。 Heartbeatというデータを送信している限り、ネットワークは途切れていないので、接続を保持してくださいという指示を出します。 このHeartbeatという機能に欠陥があり、そのHeartbeatのデータを不正な形に加工する事で、OpenSSLが予期しない動作を起こす事が発見され、それが今回のHeartBleed(心臓出血)と名付けられた脆弱性になります。 このHeartbeatは定められた規格によれば、データの大きさというものを保持するようになっています。 そのデータそのものと、データの大きさを違ったものにすると、OpenSSLはサーバーのメモリに格納された余分なデータを返却してしまうという、欠陥です。 このような仕様以外のデータに対して、誤ったデータとして処理すべきものですが、その部分が大きく抜けてプログラムが作成されていた、ということが今回の問題を引き起こしています。 脆弱性が見つかるとどうなるか OpenSSLはオープンソースソフトウェアという、プログラムのコードがすべて公開されたソフトウェアで、組み込む事は無料です。 OpenSSLはWebサーバーをはじめとして、インターネットを介した暗号化通信のスタンダードとして利用されてきました。 しかし、本来あってはならない欠陥が発見され、修正は行われましたが、その適用をサーバーに対して行うのは、サーバーの管理者になります。 ですので、未だに脆弱性を放置されたサーバーは数多くあるという事です。 これらに対して、脆弱性が公開されると、同じ状態を再現する事は簡単な事になります。脆弱性を見つけるのは難しくとも、公開されてしまえば、再現は簡単なのがソフトウェアの世界です。 このOpenSSLのようなソフトウェアは、非常に膨大なコードから成り立っています。すべてのコードに欠陥があるかどうかを、一から洗い出しきる事はかなり難しい事です。 機能が増えれば増えるほど、あり得るケース、あり得ないケースのすべてを確かめる事が必要ですが、その部分に漏れがあったという事です。 OpenSSLほど広く使われているものは、すべてが最新版に置き換わるまでは非常に長い時間がかかり、その間ユーザーのデータは危険にさらされ続ける事になります。 脆弱性に対しどう向き合うのか コンピュータの世界は、このように複雑なプログラムの集合体で、それはスマートフォン、タブレットであっても全く同じです。 WindowsXPのように10年以上現役で使われていたシステムでも、すべての欠陥を洗い出す事ができないため、今後新たな欠陥が見つかる可能性はほぼ100%です。 それがユーザーにとって深刻なものか、あるいは公開されずに秘密裏に利用されるものかは、わかりません。 ただ放置されれば、悪用される危険性は一秒ごとに増していくものです。 システムがアップデートにアップデートを重ねているのは、現在のソフトウェアがより複雑になっていく中で、さけられない事です。 WindowsXPの更新が停止してしまったという事は、今後脆弱性は放置されるという事、そしてWindowsのプログラムのコードは公開されていないので、実質Microsoft社でしか修正できない、という二点が重要なポイントです。

  • パソコン関連

ソフトウェアは購読制へ

noimage

ソフトウェアは購読制へ

購読制とはなにか    購読制(サブスクリプション)のソフトウェア販売が広がっています。 購読というのは、新聞などから由来の言葉で、月額など一定の期間分の料金を支払う事によって、ソフトウェアの利用権を購入する方法です。 パッケージ製品はこれまで一括で購入し、ライセンスと記録メディアが箱に入っている、という形がほとんどでした。 購読制ではまずユーザー登録をし、クレジットカード情報などを入力、ユーザー情報でログインして、利用できるようになります。 購読を取りやめれば、そのソフトは利用できなくなります。 購読制に移行したメジャーなソフトウェア Adobe Creative Cloud    Adobe Creative CloudはPhotoshopやIllustratorなど、Adobeのクリエイティブ製品をひとまとめにした製品です。かつてAdobe Creative Suite (Master Collection)として発売されていたパッケージは30万円を超える価格で発売されていました。これが現在購読制に移行し、年間契約であれば、月額5,000で利用する事ができます。Adobeアカウントを作成し、クレジットカード情報を入力する事で、Creative Cloudの全製品を即時ダウンロードする事ができるようになります。 Microsoft Office365    Microsoft Office 2013が購読制になった製品で、現在日本では企業向けの製品が提供されています。 アメリカでは先行してOffice 365 Home Premiumという個人向けのものが提供されており、年間$99.99で5台までの利用が可能となっています。(日本での提供時期は現在明らかにされていません) Microsoft Office 2013はこの購読制を視野に入れ、アプリ仮想化を取り入れ、WEBサイトからのダウンロードを行いながら実行できる仕組みを取り入れています ユーザーのメリット    ユーザーのメリットとしてあげられるのは、販売店で購入する事なく、オンラインで購入からインストールの手続きをすべて行える事です。 またシリアルナンバーの管理なども不要になりますので、購読アカウントの管理だけをきちんと行っておけば、紛失などの自体も発生しません。 価格面のメリットも大きいです。 たとえば同じソフトを5年間使い続ける、という場合であれば、累積的に高額にもなりますが、バージョンアップにも料金が必要と考えると、使い続けてもコスト的なメリットはあると考えられそうです。 提供元のメリット    提供元のメリットは、まとめてしまえばコストの削減です。 一つは違法コピー防止にコストをかけなくてすみます。 x台以上の利用は不可というのであれば、複数のパソコンからインストールを行おうとする事をさければすみます。 一つは流通コストが一切不要になります。 これはオンラインですべて行えるので、パッケージや媒体、配送などにかかる費用をすべてなくす事ができます。 そして、おそらく一番大きいのは、古いバージョンのバージョンアップを維持しなくても良いということです。 発売の終了した古いバージョンから、新たに売り上げはしませんが、サポートについては継続して人員を当てる必要があります。 購読制ソフトは、バージョンアップ費用不要で、常に最新バージョンが利用できることを売りにしており、先ほどの例の中ではAdobeはバージョン番号を廃止しました。 購読者に対し、常に最新バージョンの利用を促す事ができることが、購読制のメリットになるでしょう。 これからのソフトウェア    ソフトの種類によって、購読制がマッチする場合と、マッチしない場合の差は、大きく出てくると考えます。 ユーザー総数が多いものほど、購読制に移行するメリットは大きいのではないでしょうか。 Sales ForceやGoogle Appsなど、インストール不要のWEBアプリが豊富な機能を持つ現在、インストール型のアプリが早いサイクルの更新についていけないのでは、競争力を失うきっかけになりかねません。 AdobeもMicrosoftも、購読制サービスをきっかけとして、スマートフォンやタブレットへの対応を一気に広げています。 Windowsにだけ対応していれば良かったソフトを、スマートフォンなどに対応させるには大きな開発コストがかかります。 コスト面での弱点を削いで、市場でのシェアを獲得していくために大きな転換点が訪れているといえます。

  • パソコン関連

フリーウェアとアプリストアの行方

noimage

フリーウェアとアプリストアの行方

フリーソフトのこれまで パソコンを使う上で、便利なフリーソフトに助けられたことは、誰しも経験のあることと思います。 ちょっとした画像の加工編集、ファイルの圧縮展開、FTPのクライアント、テキストの制作などなど、様々な個人開発の小さくて便利なアプリケーションが多彩にあることが、Windows全体の価値を高めていたといっても過言ではありません。 これらのソフトウェアは、製作者の個人的なニーズによって開発が開始され、他にも同じニーズのある人に対して、製作者の善意によって公開されているものがほとんどです。 製作者のニーズを満たした時点で、開発が停止してしまうことも多くありますが、中には多くのユーザーが利用することにより、様々な要望が生まれ、バージョンアップを繰り返して使いやすくなっていくものもあります。 しかし無償のアプリであっても、継続したバージョンアップには、開発者の時間と、開発ツールの更新に伴う費用などが発生することになるのは自明のことです。 これらの負担に耐えられなくなり、開発が終息したフリーソフトも沢山あるはずです。 いくばくかの労力と開発にかかる費用を回収できれば、それらのソフトの開発も続けられたかもしれませんが、個人的にユーザーから利用料を徴収する仕組みを作るのは、難しいことでした。 シェアウェアとして成功した例として秀丸エディタがあると思いますが、ライセンスの入金確認と、ライセンスの発行などに更なる労力を割くことは、本業が別にある兼業プログラマとしてはハードルが高いことでした。 アプリストアの登場 iPhoneのAppStoreを皮切りに、MacAppStore、GooglePlay、WindowsStoreなど、さまざまなプラットフォーム向けのアプリストアがサービスを開始しています。 これらはアプリの配布を一元化するという意図もあります。開発者各々のWebサイトを訪れて、個別にダウンロードする必要がありましたが、こういったアプリストアはアプリストア内で検索すれば、目的のアプリを簡単に探し出すことができます。 しかし最も重要な意味合いは、ソフト開発を簡単に収益化することができるという点でしょう。 価格はそれぞれ開発者が0円から自由に設定することができます。100円や300円、数千円から数万円するアプリも販売されています。需要と設定価格がうまくかみ合えば、安価なアプリでも十分な収益となりえます。 うち、何割かはストア運営の手数料として差し引かれ、開発者に手渡される仕組みになっています。iOSのAppStoreであれば、3割がAppleの収益となり、7割が開発者にわたります。 このような仕組みは運営する企業にとって、開発者の囲い込みとユーザーの囲い込みを同時に行うことができる、二重のメリットがあります。 簡単に収益化できるアプリストアのある環境が、開発者にとっても魅力的に見えますし、ユーザーも一度お金を払ったアプリが多くなればなるほど、他の環境に移りづらくなります。 アプリを買うということ 筆者の個人的な経験での例となりますが、inSSIDerという無線LANの電波の強さや、干渉などをグラフで可視化できる素晴らしいソフトがあります。これはWindowsバージョンは無料で配布されています。これがMacAppStoreでは現在450円です。 筆者は主にMacBookProをモバイルPCとして使っているので、MacAppStoreからこのソフトを購入しましたが、この価格が高価であるとは思えませんでした。有用性を考えれば、むしろ安価であると思います。 ニーズがあって、ニーズに見合う価格であれば、購入したいと考える人は多くいるはずです。 また一方で、どうしても無償でないと嫌だというユーザーがいることも確かです。そういう方でも必要があれば、商用のパッケージソフトは購入することもあると思います。 たとえばホームビデオ編集などをなどをして、DVDに書き込むという必要が生まれた場合、フリーソフトだけで何とかして、完成させることも可能ですが、そういった情報収集などが手間であれば、簡単にできるオールインワンパッケージを家電店などで購入します。 いまはまだ、アプリストアで有償のアプリを買う、という行為に慣れていない人が多い、という段階ではないかと考えます。 簡単に言えば、詐欺的なアプリにたとえ100円でも支払うのは嫌だ、という感覚は誰もが理解できることでしょう。 どのアプリストアも黎明期で、まだまだアプリの総量を増やしていくことが一番重要な課題であり、不要なアプリが淘汰されていくレベルには達していません。 これがやがて成熟した市場となった頃には、ユーザーの意識も、開発者の意識も整理されてくるのではないでしょうか。