企業のセキュリティ対策概論（5/5 ページ）

[Mayank-Sharma，Open Tech Press]

どんなツールが必要か

　担当者の教育訓練を十分に行いさえすれば、利用できるオープンソースのセキュリティ関連ツールは幾らでもある。実際、数が多すぎて特定のツールを推奨するのは困難だ、とスウィニー氏は言う。「BackTrack 2は必要なセキュリティツールがほぼすべてそろったセキュリティ用途のディストリビューションの1つだ。BackTrack 2のほかにも、よく知られたオープンソースの脆弱性スキャナNessusや、Webアプリケーションのセキュリティを評価するオープンソースツールを集めたOWASPのスイートがある。クローズドソースのソフトウェアとしては、HPのWebInspectとIBMのInternet Scanner Softwareが、それぞれOWASPのツール群とNessusに相当する。どれも素晴らしいツールだが、オープンソースにせよクローズドソースにせよ、1つを選んでセキュリティの評価を行うと判断を誤ることになる」

　「組織は、セキュリティとセキュアな環境をもたらすさまざまなモデル、技術、手法を把握する必要がある。これらの要素は、セキュリティ対策時に必要となる重要な手段だ。例えばCLASPのようなモデルは、システム内部のセキュリティ構築のための優れたプラットフォームになる」（シュナイダー氏）

まとめ

　最近の企業は、ファイアウォールをインストールしてルールを幾つか定義するだけでは保護できない。デジタル資産であるソフトウェアとそこに保持しているデータ、双方の価値を理解する必要がある。また、セキュリティの確保は、現状、そして将来の脅威を認識している優秀な人材がいてはじめて実現できるものだ。

　本当にオープンソースソフトウェアの方がセキュリティ問題の影響を受けにくいのか、という問いに対する答えはまだ出ていないが、ソースコードを参照できることは大きな利点である。少なくともセキュリティコンサルタントを雇う余裕のある顧客にとってはそうだろう。というのも、オープンソースプロジェクトがどれほどの数のセキュリティ専門家によってチェックされているか、といったデータは概して入手できず、そうした判断は困難だからだ。もちろん、セキュリティを中心に据えた開発モデルが標準になれば、アプリケーション自体のセキュリティは確実に向上するだろう。オープンソースおよびクローズドソースのセキュリティツールは数多くあるが、たとえ業界で最も優れたツールを導入しても、その効果を引き出す術を知っていないとあまり役には立たないことを企業は忘れてはならない。

原文へのリンク