「Linuxソフトウェアはネットワーク全体をセキュアにできる」――IBMの報告書の結論

ネットワークのセキュリティを確保する上でのLinuxソフトウェアの有効性について検証したIBMの報告書の全容が明らかになった。IBMがサポートする広範なオープンソースLinux製品はミドルウェア環境を十分に防護できるとしている（IDG）。

[IDG Japan]

　ネットワークのセキュリティを確保する上でのLinuxソフトウェアの有効性について検証したIBMの報告書が最初に公表されてから数カ月後の今、その全容が明らかにされた。

　87ページにわたるこの報告書は、IBMのLinux Test Integration Center（LTIC）において7人のチームが3カ月にわたって実施したテストの結果をまとめたもの。このテストは、IBMがサポートする広範なオープンソースLinux製品はミドルウェア環境を十分に防護できるのかという疑問を検証する目的で行われ、オープンソース製品のみが使用された。

　この疑問に対する答えは、文句なしの「イエス」だったという。それを裏付けるために、テスト環境で使用されたシステムの仕様と構成に関する技術的説明が詳細に記載されている。この報告書では、類似したテスト課題で代替製品が利用可能な場合は、技術的な比較を行い、それぞれのメリットについて評価を行ったとしている。

　セキュリティ機能では、システムに組み込まれたネットワーク／Web／ホストベースの侵入検知システム（Snort、Hogwash、ModSecurity、PortSentry Port Scan Attack Detector）、ファイアウォール（iptables/netfilter）、ロギング／監査機能（Lire、Swatch）、認証機能（OpenSSH、MIT Kerberos）、リモートスキャン機能（nmap、Nessus）およびシステム堅牢化機能（Bastille Linux）について検討が加えられた。

　もともとこの報告書は、2004年8月にIBMのFTPサーバに登録されたものだが、その後、同社内でその存在が忘れ去られた格好になっていたようだ。同社がこの報告書を積極的にアピールしなかった理由も、そのあたりにあるのかもしれない。

　Linux環境のサポートとサービスを販売しているIBMにとって、この報告書は格好の宣伝材料になると言えるかもしれない。だがその一方で、オープンソース技術は現在、ソフトウェアセキュリティの標準をまだ設定している段階であることを示す証拠だという見方もあるだろう。

　この報告書では、幾つかのセキュリティ対策も提案している。これらは特に目新しいものではなく、Linuxに詳しい人であれば、そこに新しいテクニックを見いだすことはないだろう。とはいえ、Linuxベースの包括的なセキュリティシステムを構築し、「現実の」ネットワーク構成全体で重要な資産を保護することが可能であることを確認する内容となっている。

　この報告書の欠点は、特定のソフトウェア製品のセットアップ方法について詳細な情報を記載しながらも、そのように構成したシステムが攻撃に耐えられるかどうかを実際にテストしていないことだ。これらのシステムは主として、テスト用のネットワークに統合できるかどうか、そしてベストプラクティスに基づいてセキュリティ設定を容易に構成できるかどうかについて評価が行われた。

　この報告書はIBMが推進するLinuxへの転向を促すことを狙ったものだが、各種の技術報告書がマーケティング部門の管轄になり、「ソリューション」に関する空疎な専門用語でちりばめられるようになる前の時代を思い起こさせるものでもある。

　IBMの広報担当者は、報告書の中で取り上げられている構成要素の1つ「zSeries上で動作するeBusiness用統合サーバ」は既に販売中止になっているとコメントしている。また、WebSphere、DB2およびzVMソフトウェアについても、バンドル製品はもう提供されておらず、それぞれ単体で販売されているという。