情報セキュリティマネジメント試験 用語辞典
- 分野:
- 情報セキュリティ
脆弱性 - 重要度:
- ★★★
(Wikipedia バグより)バグ(bug)とは、英語で「虫」の意であり、転じてコンピュータプログラムの誤りや欠陥を表す。
ソフトウェア・ハードウェア開発における契約文書など、法的な文書ではバグのことを「瑕疵」と記述する。原因や責任の所在などが不明なものを特定性の低い表現の「不具合」と呼ぶことがある。また、セキュリティ上に関わるバグや欠陥は「セキュリティホール」などと呼ばれることもある(正確には、バグはこれらの原因(のひとつ)である)。
多くのバグが含まれ、機能的に正常な役割を果たさないものを、バギー・プログラム(Buggy Program)と呼ぶことがある。
なお、発生したバグを探して取り除く作業はデバッグと呼ばれる。
原因と影響
プログラミング上の主なバグには、論理的なバグと誤記によるバグがある。
論理的なバグは、プログラムの設計過程において発生する。無限ループや計算間違いなどを引き起こし、時にはコンピュータを暴走させたり、逆に停止させたりすることもある。
誤記によるバグは、プログラムの製造過程において発生する。存在しないプログラムの参照、意図した範囲を超えた計算結果、数値計算の誤りなどを引き起こす。論理的なバグと同様に、コンピュータを暴走させたり停止させたりすることもある。
他に、OS や開発環境などの問題(それそのものがバグである場合がある)によりバグが発生することがある。2000年問題のように、ソフトウェアが本来予測された耐用年数を超えて運用された結果、仕様がバグになってしまったものも環境依存のバグといえるだろう。
安易な修正(バグフィクス)は避けられる傾向にある。修正内容にバグを含んでいる場合や、関連するプログラムがバグの存在によって正常に動作していた可能性があるためである。「正常に動作しているものは触らない」、「寝ているバグは起こさない」と言われる。
語源
バグという言葉の語源は文字通り英語のBug(虫)であるが、この言葉はコンピュータの登場以前から、機械の原因不明な不具合をあらわす符牒として技術者の間で使われていた。たとえば1878年にエジソンが同僚に宛てた手紙のなかで、彼は機械の不具合のことを「バグ」と呼んでいる。また、第二次世界大戦中には、レーダーの故障をバグと呼んでいたという記録が残っている。現在の米口語では、"Bug"はコンピュータのバグや虫の意味のほかにも、動詞として「人を悩ませる、いらいらさせる」という意味でよく使われる。
コンピュータのソフトウェアに間違いが入るという概念自体は古く、その起源はチャールズ・バベッジによる解析機関にまでさかのぼる。解析機関のプログラミングを担当したエイダ・ラブレスはすでに1842年に残したメモの中で、計算手順を示したカードの入れ間違いにより誤った計算結果が得られる危険性を示唆していた。
コンピュータに関しては、グレース・ホッパーが、Harvard Mark II(Harvard Mark Iを参照)のプロジェクトで働いていた時に、バグとして本物の虫を発見したという話がある。不調になったMark IIを調べたところ、リレーの間に虫(蛾)が挟まっていたのを別の技術者が発見した。彼女はこれを、作業日誌にテープで貼りつけて "First actual case of bug being found."(「本物の虫が『バグ』として発見された最初の例」、これ以前から故障の原因のことを「バグ」と呼んでいたことが推測される)と書き残した。この日誌は米海軍歴史博物館に保管されている。
他にも、シェイクスピアの『ヘンリー四世』で忌まわしきものという意味で使われていた「バグ」という単語に由来するという説もある。プログラム上の欠陥を虫に見立てて呼ぶようになったという説もあるが、これは誤りとされている。
対策
プログラマーの格言として、「バグは出ない事しか分からない」という言葉がある。「ソフトウェアに『バグが絶対に存在しないこと』を立証する方法」はないので、ある程度の複雑さを持つプログラムにおいて、バグの数を 0 に近付ける以上の事は出来ない。したがって、発見したバグをひとつずつ解消する作業を続けるのみである。
実際に、近年のOS など膨大なプログラミングを必要とするものには、「バグのないソフトウェアは無い」と言われている。
もしバグを完全除去したものを作成しようとした場合、膨大な時間とコストがかかり、製品の開発から出荷まで膨大な時間を要してしまう。このため、多くのメーカーではある程度のバグが残っていたり。その可能性があっても、その範囲で正常に動作する時点で出荷したりしている。
例えば銀行のオンラインシステム(勘定系システム)などは社会基盤を支える重要度の高いシステムであるが、年に数度ダウンする程度が目安となる。それ以上の品質を確保するよりも、問題が顕在化した時点で対処した方が、費用対効果の点で有益であると判断されるからである。
出荷後は、想定外の操作を行った際にバグが発見されることが多い。メーカーのプログラマやテスト担当者は専門家としての知識・経験があるため、逆に想定外の操作により発生するバグの発見はしばしば困難である。このようなバグは専門知識の無い一般利用者が使用することで発見されることも少なくない。
近年では、バグが残っていることを前提にした上で、最新の機能や修正した機能を搭載したソフトウェアをアルファ版やベータ版として一般利用者に試用してもらい、報告されたバグを正式版までに修正するという手法もよくとられる。また、ゲーム製品などでは、素人の一般人に試用してもらいバグを発見する専門の仕事もある。
バグ管理
バージョン管理システム
コンシューマ向けアプリケーションソフトの場合、一般的にはバージョン管理システムと呼ばれる数値で行うことが多い。バージョンの数値が大きいほど、バグの修正や機能の追加が行われていることを表す。コンシューマ向けOSなどの場合、メーカーではこれらを定期的に修正した修正プログラムを提供している。既知の問題の修正箇所を、個別に修正の実施と未実施を調べる。近年ではバグ管理システムなどに移行している。
マイクロソフト では毎月第二火曜日(日本ではその翌日で、単なる第二水曜日ではないことに注意)に自社製品のバグの対策プログラムを発表するようになった。以前は修正プログラムが完成した都度に発表していたが、ユーザが頻繁に修正プログラムの発表を調べなくてはならず、修正が行われずに放置されてしまう場合が逆に増えてしまっていた反省によるものである。ただし、既に実害が発生している場合などは即時の発表が行われている。他社もMicrosoftに倣って第二火曜日近辺に発表することが多くなった。
バグ管理システム
近年、ソフトウェアの開発においてはバグの修正が重要な作業と考えられている。バグを漏らさず修正し、再発を防ぐには、バグの発見日時や発見者、再現方法、修正担当者、修正履歴、修正方法、重要度、テスト状況などの多くの情報を残し管理する必要がある。開発によっては数千という数のバグが発生し、また多数のテスト担当者や修正担当者が関わっていることを考慮すると、従来のファイルレベルの管理では追いつかなくなっている。このような背景から、バグを管理するソフトウェアであるバグ管理システムが生まれた。バグトラッキングシステム(Bug Tracking System, BTS)とも呼ぶ。
バグ管理システムは、ウェブサーバ上で動作し、ウェブブラウザ経由でアクセスできるようになっている。また電子メールとも連動し、修正時にテスト担当者やバグ報告者にメールが送信されるものもある。
主なバグ管理システムにはBugzillaや影舞などがある。また、最近ではウェブサーバを必要としないP2Pアーキテクチャによるバグ管理システムのといったものも登場した。
バグ管理システムは、バージョン管理システムと同様、ソフトウェアを開発する上での必須アイテムになりつつある。
バグとソフトウェア工学
ソフトウェアでバグを出さない最も良い方法は、そもそもバグが起こりにくい開発を心がけることだといえる。バグが起こりにくい環境では、その分工数に余裕が持てる上、ソフトウェア自体の性能も良好になりやすいという、正の相関性が見られる。正しい環境の追求は非常に重要な問題なのである。
どのような方法論をとれば開発過程にひずみを産まないか、安全なプログラムを書くにはどのような言語を用いるべきか、適切な人員配置とコミュニケーションはどのように行われるべきか、等々、そのような知見を扱う分野はソフトウェア工学と呼ばれる。
コンピュータゲームにおけるバグ
コンピュータゲームにおいてもバグは生じうる。進行やセーブデータ保全に影響するようなものの場合はゲーム雑誌などで告知されたり、影響力が大きい人気ゲームの場合は新聞でも取り上げられたり重大なバグだとメーカーが判断した場合は対策がなされる。本体にインストールするパソコンソフトならば公式ウェブサイト上で修正パッチを配布する事でも対応できるが、メディアから直接起動するのが原則であるパッケージ販売の家庭用ゲームソフトのバグはアップデートが困難あるいは不可能であるため、無償で修正版との交換が行われることもある。しかし、発売後に発覚したバグは再出荷の際にも放置されるゲームもあり、ユーザ同士の情報交換が対策となりうる。
また、ユーザがバグを裏技や小技として利用することがある。中には『スペースインベーダー』の「名古屋撃ち」等のように、元々はバグにより発生した作成者の意図しない現象であったものが、後に正式な仕様の裏技として認知されるケースもある。
さらに、画面表示が異常になった状態を俗に「バグった」と呼ぶことがあるが、本来はバグ(もしくは他の要因)の結果、表示が異常になったものである。ほかにも、意図的に動作不良を起こさせた状態をバグと呼んだり、異常な形で現れた要素を「バグキャラ」「バグアイテム」等ということもある。本来、これらをバグと表現するのは適切ではなく、英語ではこのような現象を指す場合はBugではなくGlitchを用いる。
非電子系ゲームをコンピューター上で再現する類のゲームの場合、実際のゲームと異なる動きをする場合にバグと呼ばれることがある。多くの場合そういったものはメーカーは「バグ」という表現を避け、「異なる仕様がある」という説明にとどめる傾向にある。
バグによって引き起こされた裏技(バグ技)についてはバグ技も参照。
「脆弱性」の用語
「情報セキュリティ」の他の分野
「セキュリティ」の他のカテゴリ
このページのWikipediaよりの記事は、ウィキペディアの「バグ」(改訂履歴)の記事を複製、再配布したものにあたり、このページ内の該当部分はクリエイティブ・コモンズ 表示 - 継承 3.0 非移植 ライセンスの下 に提供されています。