Bruce Schneier Counterpane Internet Security
「CRYPTO-GRAM December 15, 2005」より

 OpenDocument Format for Office Applications(ODF)は,米Microsoftの文書やスプレッドシートなどで使われているファイル・フォーマットの代替フォーマットである。

 ODFそのものは大したものではない。独自のOfficeファイル・フォーマットを持つMicrosoft社が「どうもODFにはセキュリティ上弱い部分がある」とのうわさを広めている,ということを除けば。

 これが,Office文書に任意のVisual Basicプログラムを埋め込めるようにした企業の行為だろうか?

 確かに,ODFにはスクリプトを埋め込む方法が存在する。この点こそ,Microsoft社が指摘している問題のようだ。しかし,少なくともODFはクリーンかつオープンなXMLフォーマットを採用しているため,階層的なセキュリティが実現可能で,必要に応じてスクリプトを削除できる。Microsoft社のバイナリ・データによる文書フォーマットでは,埋め込んだプログラムをうまく隠せるので,ODFで可能なこうしたセキュリティ対策の実施がはるかに難しい。

 Microsoft社の主張の内容は「オープンなODFのセキュリティは,独自開発されたOfficeフォーマットに比べ本質的に低くなる」というものだが,これは「ものごとを隠すことでセキュリティを確保する」という主張と実は同じだ。ODFは,現在のMicrosoft Wordの文書フォーマットである.docやそのほかの独自フォーマットと比べ安全面で劣ることはない。少なくともわずかな程度は,安全性が高い可能性がある。

 このことについて,ODFの関係者はうまいことを言った。「ODFを使うからといって,ほかの文書フォーマットよりもセキュリティのリスクが大きくなることはない。コードを操作できる余地が増えたり,コンテンツにアクセスしやすくなったりすることもない。セキュリティの問題は,文書フォーマットではなく,情報共有に基づいたポリシー決定によって解決される。プログラムの拡張機能(例えば,Office文書に埋め込み可能なVisual Basicによるマクロ)がセキュリティの脅威になることはよく知られており,評判が悪い。しかしこのことから,ほかのフォーマット仕様よりもODFのセキュリティが高いとか低いとかいった結論は導き出せない。ODFの仕様強化に取り組む多くの技術者は,拡張機能による弱点を緩和する技術も開発している」

 こうしたすべての事柄は,先ごろマサチューセッツ州が公式記録をODFで残すよう決定したことで加熱し,Microsoft社はいくらか取り乱した。Microsoft社がOffice文書フォーマット「Microsoft Office Open XML Format」を国際的な標準化組織Ecma Internationalに「オープン標準」として採択するよう提出したことと,マサチューセッツ州の決定が関係するかどうかについて,私は知らない。しかし,これも理由の一つであることは間違いないだろう。

ODF:
http://en.wikipedia.org/wiki/OpenDocument
http://www.oasis-open.org/committees/tc_home.php?...

ODFのセキュリティ:
http://www-128.ibm.com/developerworks/blogs/...

マサチューセッツ州の決定:
http://news.com.com/...
http://news.com.com/...
http://riskman.typepad.com/perilocity/2005/11/...

Microsoft社の行動:
http://www.microsoft.com/presspass/press/2005/nov05/...

Copyright (c) 2005 by Bruce Schneier.


◆オリジナル記事「OpenDocument Format and the Commonwealth of Massachusetts」
「CRYPTO-GRAM December 15, 2005」
「CRYPTO-GRAM December 15, 2005」日本語訳ページ
「CRYPTO-GRAM」日本語訳のバックナンバー・ページ
◆この記事は,Bruce Schneier氏の許可を得て,同氏が執筆および発行するフリーのニュース・レター「CRYPTO-GRAM」の記事を抜粋して日本語化したものです。
◆オリジナルの記事は,「Crypto-Gram Back Issues」でお読みいただけます。CRYPTO-GRAMの購読は「Crypto-Gram Newsletter」のページから申し込めます。
◆日本語訳のバックナンバーは「Crypto-Gram日本語訳」のページからお読みいただけます。
◆Bruce Schneier氏は米Counterpane Internet Securityの創業者およびCTO(最高技術責任者)です。Counterpane Internet Securityはセキュリティ監視の専業ベンダーであり,国内ではインテックと提携し,監視サービス「EINS/MSS+」を提供しています。