企業のセキュリティ対策概論(5/5 ページ)
セキュリティの確保は、現状、そして将来の脅威を認識している優秀な人材がいてはじめて実現できる。たとえ優れたツールを導入しても、その効果を引き出す術を知っていないとあまり役には立たないことを企業は忘れてはならない。
どんなツールが必要か
担当者の教育訓練を十分に行いさえすれば、利用できるオープンソースのセキュリティ関連ツールは幾らでもある。実際、数が多すぎて特定のツールを推奨するのは困難だ、とスウィニー氏は言う。「BackTrack 2は必要なセキュリティツールがほぼすべてそろったセキュリティ用途のディストリビューションの1つだ。BackTrack 2のほかにも、よく知られたオープンソースの脆弱性スキャナNessusや、Webアプリケーションのセキュリティを評価するオープンソースツールを集めたOWASPのスイートがある。クローズドソースのソフトウェアとしては、HPのWebInspectとIBMのInternet Scanner Softwareが、それぞれOWASPのツール群とNessusに相当する。どれも素晴らしいツールだが、オープンソースにせよクローズドソースにせよ、1つを選んでセキュリティの評価を行うと判断を誤ることになる」
「組織は、セキュリティとセキュアな環境をもたらすさまざまなモデル、技術、手法を把握する必要がある。これらの要素は、セキュリティ対策時に必要となる重要な手段だ。例えばCLASPのようなモデルは、システム内部のセキュリティ構築のための優れたプラットフォームになる」(シュナイダー氏)
まとめ
最近の企業は、ファイアウォールをインストールしてルールを幾つか定義するだけでは保護できない。デジタル資産であるソフトウェアとそこに保持しているデータ、双方の価値を理解する必要がある。また、セキュリティの確保は、現状、そして将来の脅威を認識している優秀な人材がいてはじめて実現できるものだ。
本当にオープンソースソフトウェアの方がセキュリティ問題の影響を受けにくいのか、という問いに対する答えはまだ出ていないが、ソースコードを参照できることは大きな利点である。少なくともセキュリティコンサルタントを雇う余裕のある顧客にとってはそうだろう。というのも、オープンソースプロジェクトがどれほどの数のセキュリティ専門家によってチェックされているか、といったデータは概して入手できず、そうした判断は困難だからだ。もちろん、セキュリティを中心に据えた開発モデルが標準になれば、アプリケーション自体のセキュリティは確実に向上するだろう。オープンソースおよびクローズドソースのセキュリティツールは数多くあるが、たとえ業界で最も優れたツールを導入しても、その効果を引き出す術を知っていないとあまり役には立たないことを企業は忘れてはならない。
関連記事
- FOSS調達ポリシーで会社を守る
FOSSがビジネスツールとして普及するにつれ、企業のソフトウェア調達ポリシーを大きく変え始めている。業務で使っているだけの大企業の認識はまだ甘いといわざるを得ないのが現状だ。 - セキュリティはシステム構成から――忘れられた原則
セキュリティというと、特定の脅威に対する対策について考えるのが普通だ。しかし、その考えにはさらに重要な施策が見落とされている。より効率的なのは最初から安全なシステムを構成することなのだ。 - 定期的なアップデートでネット攻撃から身を守る
Webサーバ上の機密データを狙う攻撃者がCMSを標的にするようになるなど、アプリケーションに対するアップデートの必要性がますます重要になっている。 - アーキテクチャーセキュリティの9つの原則
アーキテクチャーセキュリティは、何十冊もの本にわたるほどの大きな話題である。だが、具体的な設定方法を除けば、それは9つの基本的な原則に集約できる。 - 成功するソフトウェア企業の条件は“コラボレーションとスピード”
Copyright © 2010 OSDN Corporation, All Rights Reserved.