企業のセキュリティ対策概論（4/5 ページ）

[Mayank-Sharma，Open Tech Press]

オープンソースソフトウェアの方がセキュアなのか

　驚いたことに、クルス氏は“高性能かつ定評のあるオープンソースのコンテンツ管理システム（CMS：Content Management System）”で前記の例と同じような状況にかかわっていたという。彼は、やはりNDAのせいでそのCMSの名を明かせないが、とにかくそのCMSアプリケーションのユーザーから有償のセキュリティレビューを実施してほしいとの依頼を受けたという。「わたしの提出した（重大な脆弱性が大量に記載された）リポートが、そのCMSの開発者およびユーザーのコミュニティーに公開されることは一度もなかった。もう何年も前のことだ」

　では、関係者の間でレビューが行われるオープンソースソフトウェアの方が、クローズドソースの製品を使うよりも信頼できるのだろうか。シュナイダー氏は、ソースコードが存在することで他人による脆弱性のチェックが可能になり、これは品質の保証にとって重要なことだと考える人々がいる、と述べている。その一方で、規模の大きなオープンソースコミュニティーには、品質保証、プロジェクト管理、脆弱性のチェックに関する知識をほとんど持たない者が大勢いる、という考えの人々もいるという。だが、オープンソースには明らかな利点がある、というのが彼の持論だ。「少なくとも、手に入れたものがどんなものかをいつでも確かめられる。ソースコードのチェックを品質保証の担当者にさせていなかったとしても、それはその組織の責任だ。例えオープンソースであっても、社外で開発されたコードは決して信用してはならない。これはSourceForgeから入手したコードを“つなぎ合わせて”利用する多くの開発者がよくやる過ちだ」（シュナイダー氏）

　スウィニー氏はこうも語る。「この業界でわたしが見てきた中では、SugarCRMやTenableのような会社によるハイブリッドアプローチが最も効果的といえる。自社で機能を追加したり、有償で追加機能を利用したりできる非常に優れたオープンソースソリューションが得られるからだ」

　そうしたメリットはあるが、セキュリティの観点からいうとオープンソースコミュニティーの道のりはまだまだ長い、とクルス氏は語る。「現在のオープンソースは大きなセキュリティ上の問題を抱えている。コミュニティーでも利用モデルでもセキュリティが十分に考慮されていないからだ。Microsoftのやることには何にでもケチをつける人が多いが、Microsoftのセキュリティ担当者は一部でかなり優秀な成果を挙げている。SDL（Security Development Lifecycle）とSD3（Secure by Design, by Default, and in Deployment）は非常に優れたコンセプトであり、オープンソース業界でも利用すべきである。もちろん、Microsoftはそうしたセキュリティ活動をすべての製品で実施しているわけではない。このことは結果的に（セキュリティ面での）彼らの衰退につながるだろう」（クルス氏）

　クルス氏は、オープンソースのアプリケーションのセキュリティ性を高めるためのヒントを幾つか挙げている。「オープンソースアプリケーションの開発ライフサイクルを標準的でセキュアなものにしたい。例えば、メジャーリリース前には本格的なセキュリティレビューを実施するなど、プロセスがきっちりと定義されたものだ」。また彼は、使用または購入を考えているソフトウェアのリスクプロファイルを評価できる、実際に即した評価指標をユーザーに与えることも提案している。

　「われわれは、環境面のテクノロジー（サンドボックス処理など）にもっと注力する必要がある。クライアント側でもサーバ側でも、安心して悪意のあるコードを混入したり、無害なコードを悪用したりできるようにするためだ」（クルス氏）。また、オープンソース・アプリケーションの場合は、セキュアなアプリケーションの開発と創出に寄与するビジネスモデルが、セキュリティのハードルを高くするのに大いに役立つだろう、ともクルス氏は述べている。