セキュリティ・スペシャリスト座談会 総合力勝負のWindowsセキュリティ オープン・ソースに差を付けるより引用。

OSSはApache，PHP，OpenSSLなどが疎結合であるがゆえに，例えばPHPのぜい弱性が発見されて一部をアップデートすると， OpenSSLの相互依存関係でほかに影響が出るので，ぜい弱性があるのを分かっていても，アップデートを断念する場合があり，危険性が放置されるケースもあると聞いています。特に顕著なのが，Webサイトをホスティングしているところです。

マイクロソフト製品にもぜい弱性はありますが，IIS（Intenet Information Services）*と.NETの相互依存関係は確保されており，その上で作られるアプリケーションの検証もしっかりしているので，安心して使えるわけです。

発言者の古川さんは「マイクロソフトに入ってからずっとセキュリティを担当」してきたらしいが、こんな発言を。解ってないものを非難するのか、解っていてFUDを行っているのか判らないが、こういう発言はマイクロソフト社を貶めるだけだと思うのだがなぁ。

例えば、古川さんが挙げている例だと、そもそも、PHPの再コンパイルを行ったとしてもOpenSSLに影響なんかでないのでは?

また、OpenSSLに脆弱性がみつかった場合にOpenSSLのバージョンを上げることで脆弱性への対応を行った場合はPHPやApache等の再コンパイルが必要な場合は有り得ますが、そもそも、バージョンを上げることでの脆弱性対応なんかは基本的に行わず、現在使っているバージョンのソースコードにパッチをあてて再コンパイルを行うことで対応します。そして、通常はベンダー(ディストリビュータ)が対応してくれます。マイクロソフト社が行うのと同様に。

古川さんはそのあたりの状況を把握した上で発言しているのでしょうか。把握している上で発言しているならFUDでしょうし、把握していない上での発言ならば、流石にそれでセキュリティ・スペシャリストを名乗るのはどうかと思う。まあ、本人は名乗ってないのかも知れないが、この対談に参加する資格があるのかどうかは疑わしいと言わざるを得ない。