Scribble at 2026-07-16 21:28:18 Last modified: 2026-07-17 06:25:17
# 論旨が色々と混在しているので、あまりよい図ではない
オープン・ソースのソフトウェア、今回は OpenSSL なのだけど、これは今年の1月にソース・コードのレベルでリリースされたものが最新だ。しかし、これらを利用している macOS, Windows、そして色々なディストリビューションの Linux や UNIX などのメンテナーやパッケージ管理者が、それぞれのプラットフォームである OS に最適化して実装し、現状で動く色々な他のコンポーネントやドライバやミドルウェアなどとの依存関係を解決したり、影響を見定めるために、大量のテストを実行するわけである。正確なバージョン番号は "OpenSSL 3.5.5 27" だが、この末尾の "27" という数字は、僕が運用している AlmaLinux(さくらの VPS)という環境に適合させるためのパッチを追加開発して適用したり、他のパッケージとの依存関係を調整したり、あるいはソース・コードからのビルドをやりなおすといった作業を27回だけ繰り返したという意味だ。
なので、さきほどクライアントから OpenSSL の脆弱性が見つかったという指摘があって、サーバ・エンジニアというか弊社でただ一人の IT 人材でもあるため、業務システムを打刻して退勤していようと関係なしに対応はする。もちろん、これを20年前から即座に、致命的な誤りもなく続けてきたからこそ、いまの待遇がある。それこそ、電通マンから「堂島の神エンジニア」と呼ばれたこともあるわけで、個人サイトで文句ばっか書いてるジジイじゃねーんだよ。俺は。ともあれ、3月に OpenSSL を # yum update で更新したときは1月にリリースされたソースがパッケージとして登録されていなかったらしく、今回の # yum update でようやく他のパッケージとともに更新されたわけである。
で、どうやらそれをディレクターやクライアントは俺の怠慢とかミスだと思ってるらしいんだよね。なんで1月に更新されたプログラムが3月の # yum update で適用されずに、今回も外部のセキュリティ会社に言われて対応することになったのかというわけだ。ちなみに、危険でもあるから自動で # yum update は行っていない。この案件で動かしているサーバは VPS つまり仮想ではあるが占有サーバであるのにメンテナンス料金すらもらっていないから、月次の自動更新で問題が起きていないかどうかを確認する工数すら予算に組み込まれていないからだ。なので、Let's Encrypt による SSL サーバ証明書の自動更新もすべきではないのだが、これは実行させて、受託案件にはつきものの無償奉仕として、更新された後の表示確認などを俺様がタダで行ってやっている。ちなみに、巨大ターミナル駅のテナントが利用するクーポンのサイトという特定コンテンツだけを専門に運用しているサイトしか運用していないサーバだし、おまけにこのクーポン・サイトは宣伝どころかターミナル駅のサイトからですらリンクされてもいないので、殆どアクセスなんてないサイトなのだ。
もちろん、即時に対応するために、理屈や建前の上ではソース・コードからアップデートはできるが、サーバのメンテナンスなんて鉄道系の広告代理店が費用を出したり、親会社の鉄道会社から予算をもぎ取れるわけもなく、したがってメンテナンス費用なんて1円ももらっていない。広告代理店案件では、この20年以上にわたってこんなのばかりだ。しかし、逆に言えば予算がない作業を社内で、しかも「神」と呼ばれるレベルと実績でやっているのだから、僕を簡単に会社から追い出すことなどできまい、という理由でも、僕は安泰だったのだ。適当にヘタレの集団で働いていると、こうやって楽ができる。僕は実際にそれなりのレベルの技術者だという自負はあるが、仮にそれが平凡なレベルであったとしても、日本のように甘っちょろい国では食っていく方法なんて幾らでもあるのだ。
そんなわけで、ソース・コードからアップデートする方法なんてディレクターにもクライアントにも教えないし提案もしない。だいたい、そうなると僕という個人がソース・コードから configure したり make しないといけないわけで、それを単独のパッケージに対して行うだけで済む保証などない。他にどのような影響があるのか、あるいは依存関係があるのかも調べて、それこそ AlmaLinux のような RedHat 系列の OS だと RedHat の複数のエンジニアが行っている作業を僕が単独で慎重に行う必要がある。実際、そういうことを大勢の人々が各 OS なりディストリビューションの開発チームだとかコミュニティでやっているからこそ、僕らは # yum update なんていう馬鹿でもできる(はずの)コマンド一つで済ませてしまえるのだ。つまり、僕のような人材を単独で動かして、単なるソフトウェアのコンパイルとインストール作業だけではなく、その影響関係も調査したうえで実施するとなると、僕は「IT アーキテクト級」として1日あたりの工数単価が8万円とさせてもらっているので、まさかこんな案件だけにつきっきりで作業するわけもなく1日の半分を費やすとしても、影響関係を調べたりテストするだけで、それこそ1月にリリースされたソース・コードが3月の更新でもパッケージに反映されていなかったことで分かるように、メンテナーが1人しかいなかったとしても3ヶ月はかかるということであるから、単純計算で40,000円 x 20日/月 x 3ヶ月 = 240万円を、OpenSSL のアップデートだけで払えるのかという話だ。
そんなもん、いまや上場企業のコーポレート・サイトですら、リスク監査では AWS や専有サーバで動いているように誤魔化しているようだが、実際にはクラウド・ワーカーに丸投げして、さくらのレンタル・サーバで動く WordPress に構築しているような時代だ。出すわけがない。でも、こういう連中は幼稚な「ベキ論」を振りかざして、エンジニアなら矜持があるだろうとか、技術者としての誇りやものづくり精神はどうしたとか、お客様のためなら死ねとか、下請法など知ったことかとばかりに幾らでも建前で押してくる。確かに、そういう面倒臭い連中に色々な弁解をすることすら面倒なので、検証もなにもせずにいきなり懸案のソフトウェアだけを単独でソース・コードから make install したこともある。どのみち上場企業の情シスやセキュリティ会社のツール・オペレータにすぎないテスターなんてのは、目当てのソフトウェアのヴァージョン番号が増えていればそれで満足なのだ。
こういうわけで、オープン・ソースのソフトウェアに依存して事業やサービスを構築したり展開したり運用するということが、本来ならどれだけのコストを節約していることになるかを、とにかくウェブ業界の発注側というのは全く知らないし、ましてや広告代理店や大企業や上場企業になると知らないふりをしていることが多い。こういう陋習なり業界の現状が変わらない限り、僕は現職を定年退職したら、もうこんな業界で働くのはまっぴらごめんである。僕のエンジニアとしての才能や業績なんて、こんなもん本来の能力からすれば鉛筆回しするていどの些事でしかないので、他に行く業界なんていくらでもあるし、そこでもこのていどの才能なんて幾らでも活かせる。
ともあれ、プライバシーマークすら運用している情報セキュリティのマネージャがこういうことを言うのは語弊があるかもしれないが、セキュリティというものは口先だけの正義感や責任感では解決しない。企業としてそれを維持したり実現するには、それなりの金と人手と時間が必要なのだ。そういうものを用意する覚悟のない者は、黙って他人がやってくれている成果を与えられたままに使うべきなのであって、それがオープン・ソースについての、ユーザとして誠実かつ慎重でリアルな態度というものだと思う。