2003年12月24日(水)
筑波大学第三学群情報学類
登 大遊
経済産業省(IPA)
からの要請がありましたので、
ダウンロードを一時停止いたします。
IPA(経済産業省)の要請により SoftEther の配布を停止
登 大遊 (Daiyuu Nobori, 筑波大学第三学群情報学類所属) は、IPA (情報処理振興事業協会)
が主催する平成15年度未踏ソフトウェア創造事業 未踏ユース部門 (以下、未踏ソフト)
に採択された開発プロジェクトである、『イーサネットのソフトウェア実装とトンネリングシステムの開発』
の開発途中成果となるソフトウェアである、仮想ネットワーク構築・通信ソフトウェア『SoftEther』(ソフトイーサ)
のベータ版ソフトウェアのダウンロード提供を、2003年12月17日 (水) から www.softether.com 上の Web
サイトにおいて行っていましたが、本日、IPA (情報処理振興事業協会)
より、配布を一時停止するよう、強い要請がありましたので、一時配布を中断させていただきました。
このニュース リリースでは、SoftEther
の一部配布停止に至った経緯と、今後の配布再開予定につきまして、ご報告とご説明をいたします。
※ 12月27日 追記: SoftEther
のダウンロード再開のご案内
1. 経緯の説明
情報処理振興事業協会 (IPA) の未踏ソフトウェア事務局からの情報によりますと、SoftEther
に関して、複数の民間企業および自治体より、情報処理振興事業協会および経済産業省に対して、問い合わせがあったとのことです。
その内容を抜粋すると、
- SoftEther は使い方によってはセキュリティ ホールの原因となるソフトウェアである。
- IPA として、このソフトウェアがフリーで公開されていることに対して、どのように考えているのか?
というものであり、実質的に「SoftEther は、使い方によってはセキュリティ
ホールの要因となるので、公開を中止するべきである」というクレームがあったとのことです。
情報処理振興事業協会は、このようなクレームを受け、SoftEther の開発者である 登 大遊 に対し、SoftEther の Web
サイトからのダウンロードを直ちに停止するよう強く要請しました。開発者はそれを受け、本日午後 3 時過ぎより Web サイト上における
SoftEther Version 0.40 Beta 2 および SoftEther Version 0.30 Beta 1
のダウンロードを一時的に停止いたしました。
2. 情報処理振興事業協会 (IPA)
による資料
情報処理振興事業協会 (IPA)
が発行した、今回の経緯を説明する文書資料をここで掲載いたします。未踏ソフトウェア事務局の担当者の方に至急で作成していただいた文書であり、また実際に問い合わせを行った企業名・自治体名などを掲載することはできませんでしたので、このような簡素な文書となっております。
(クリックすると拡大して表示します)
この文書の PDF 版は、こちら
からダウンロード可能です。
3. 今回の件に関する開発者側の見解
開発者個人といたしましては、SoftEther は様々な環境に柔軟に対応して VPN
を構築することができる通信ソフトウェアであり、大変有益なシステムであるので、今後も SoftEther
の開発および公開は今後とも継続させていただきたいと考えております。
いくつか指摘があります通り、SoftEther
は使用方法を誤ったり悪用した場合はセキュリティホールの要因となる可能性はありますが、そもそもコンピュータ技術のほとんどは悪用することが可能であり、最終的にはそれを使用するユーザーの皆様によって利用方法が決定するものであるため、「悪用される可能性があるから」という理由によって、SoftEther
の普及が阻害されることは避けなければならないと考えております。
そもそもフリーウェアに限らずほとんどのソフトウェアは使い方によっては悪用が可能であり、そのようなことに対して一々警戒していては、どのようなソフトウェアも公開・販売することができなくなってしまいます。
開発者の見解といたしましては、「SoftEther
は悪用することができるソフトウェアなので、公開を中止するべきである。」や、「SoftEther
の使い方を誤るとセキュリティホールの要因となるので、公開するべきではない。」といった意見につきましては全面的に反対であると主張いたします。しかしながら、SoftEther
の開発支援 (実質的なスポンサー)
をしていただいている情報処理振興事業協会からの要請があったため、やむを得ず、一時的に配布を見合わせたというのが現状です。
4. 今後の対応について
もちろん、今回の件に起因して、今後一切 SoftEther の公開または開発を行わないということはありません。
現在、情報処理振興事業協会 (IPA) との間で調整を続けており、SoftEther
のダウンロードは近日中に必ず再開されます。
5. クレームの内容に対する個人的な回答
(以下はすべて個人的な意見です)
SoftEther
が公開されたことに対して、いくつかの企業や自治体から、情報処理振興事業協会に対して以下のような内容の問い合わせがあったと聞いていますが、これらは実質的にクレーム
(苦情)
であると解釈して問題無いと思います。これらのクレームの内容に対する、開発者の個人的な見解を述べさせていただきます。なお、ここで掲載されている内容は開発者の個人的な考えであり、未踏ソフトウェア事業としての公式見解ではありませんので、ご了承願います。
- このソフトはセキュリティホールとなる危険性が大なのではないか?
SoftEther は安全かつ柔軟な VPN
接続を実現するために開発された通信ソフトウェアです。その副作用として、使い方を誤った場合にセキュリティホールとなる危険がありますが、SoftEther
と同様のことは、従来の各種ソフトウェアを複数組み合わせて実現可能である (たとえば、stone 上で SSH
セッションを構成して、その上で SOCKS を通すなど) ことから、SoftEther
がセキュリティホールの原因となる可能性はあっても、それを理由として SoftEther
の開発や公開を行うべきではないということにはならないと思います。
また、SoftEther
が実際に行っている通信は、本来企業ネットワーク等のファイアウォールシステムが論理的に許可している通信そのものであり、その上で仮想的な
Layer-2
ネットワークパケットを送受信しているに過ぎません。セキュリティホールの発生の防止は、ファイアウォールを管理者が適切に設定することにより、ほぼ完全に達成することが可能です。
SoftEther
の接続の柔軟性により得られるメリットが存在することにより、それが原因でファイアウォール等を通過することができてしまうことにより発生するデメリットも必然的に発生してしまうということは確かなことですが、そのような理由で
SoftEther の開発や公開を行わないということには同意できません。
- IPA(経済産業省)はこのソフトがフリーで公開されることにどう思っているのか?
私は開発者ですので、IPA の見解を述べることはできません。個人的には、契約上
IPA
から委託されている業務を、「実施計画書」に記載されている要件を満たすソフトウェアを開発するという目的で遂行したのに過ぎず、それ以上のことも、それ以下のことも行っておりません。未踏ソフトウェアに関わる契約において定義されている「実施計画」の概要は、以下の
URL において公表されています:
http://www.ipa.go.jp/NBP/15nendo/15youth/gaiyou/02-002.htm
なお、実施計画書によると、SoftEther のプロトコル仕様を公開し、また SoftEther
ソフトウェア本体も無償で公開・配布することが契約内容の条件となっていますので、開発者としてはこれに従わなければなりません。
- 住基ネットなどのシリアスな問題もあり自治体としては当ソフトの公開に大きな不安を持っているが、国として、そのままでいいのかご検討願いたい
これも同様に、私は経済産業省としての見解を述べることはできませんが、個人的には、以下のように考えます。住民基本台帳ネットワークについては、片山総務大臣がすでに「絶対安全」であると宣言しており、住基ネットの安全性は
1 つの VPN ソフトウェアによって脅かさせるはずは「絶対」無いはずです。(公式発表では、物理的に接続されていないということですし。)
追記: 12月26日 IPA・経済産業省宛のご意見・ご質問をお送りいただく際のお願い
IPA
や経済産業省に対するお問い合わせやご意見などを、私宛のメールアドレスに送られる方がいらっしゃいます。私では取次ぎできませんので、以下のような
IPA の質問フォームからお問い合わせいただくよう、お願いいたします。
IPA 「お問い合わせフォーム」
http://www.ipa.go.jp/ipa/inqiry/inqiry_info/mailform.html
経済産業省ホームページ
http://www.meti.go.jp/
上記サイトの「ご意見募集」からメールにて送信
※ IPA (情報処理振興事業協会) は経済産業省の管轄する外郭団体です。
本件に関するお問い合わせ先は下記までお願いいたします。
|