|
オープンソースのセキュリティツールは大きく進歩しており、他のセキュリティツールと同等の効果を発揮する可能性があります。しかし、オープンソースツールのみに頼ることには欠点もあるため、ハイブリッドアプローチが最善の選択肢となる可能性があります。 オープンソース ツールは多くの組織にとってますます不可欠な要素となっていますが、オープンソース セキュリティ ツール (侵入検知および保護からオープンソース バージョンのファイアウォールまで) の導入には長い時間がかかっています。
では、組織はオープンソースツールのみを使用して運用環境を保護できるのでしょうか?答えは「はい」ですが、実際には複雑です。組織のITスタッフの経験、組織が許容できる予算、そしてリスク許容度によって左右されます。 OWASP (Open Web Application Security Project) Foundation のグローバル ボード チェアであり、Deloitte の侵入テスト担当シニア マネージャーでもある Owen Pendlebury 氏は、ほとんどの場合、オープン ソースのセキュリティ ツールは、プロプライエタリ ツールと同等か、ほぼ同等に効果的であると述べています。これは、プロプライエタリ ツールとは異なり、オープン ソース ツールは、アクティブで熱心なコミュニティ (その多くが専門家) によって維持管理されているためです。 実際、オープンソースセキュリティは短期間で大きな進歩を遂げています。過去10年間、ベンダーはオープンソースセキュリティの推進に力を合わせ、アライアンスとの連携を頻繁に行ってきました。その一例が、Open Cybersecurity Alliance(OCA)です。サイバーセキュリティエコシステム内の相互運用性を向上させるため、OCAは今年2月、サイバーセキュリティソフトウェア間のデータとコマンドの共有を容易にするオープンソースメッセージングフレームワーク向けのセキュリティツールを導入しました。非営利団体や世界的なCERTコミュニティなど、他の活動的な組織も、オープンソースセキュリティツールの開発に資金を提供しています。 これらすべての要因がオープンソースのセキュリティ環境を変えました。利用可能なツールはますます増え、より優れたものになり、今後もさらに進化していくでしょう。 「12ヶ月、18ヶ月前と比べると、オープンソースのセキュリティツールは量も質もかなり急速に増加しています」と、IBMのセキュリティ脅威管理担当チーフアーキテクト、ジェイソン・カーステッド氏は述べた。「2~3年前は、答えは全く異なっていました。」 オープンソースのセキュリティツールには多くの利点があります。開発者によるレビューが頻繁に行われるため、常に最新の状態に保たれ、包括的なドキュメントが付属しています。さらに、柔軟性が高い傾向があるため、ITスタッフは独自の環境の制約にとらわれずに作業を進めることができます。 しかし、必ずしも順風満帆というわけではありません。例えば、組織はパッチリリースのスケジュールを制御できないため、悪意のある攻撃者が侵入するリスクがあります。 コードは通常、多くの人によってレビューされますが、それでも脆弱性が潜んでいる可能性があります。実際、オープンソースツールはプロプライエタリツールと同様に脆弱です。例えば、数百万行に及ぶ大規模なコードベースでは、検出が困難になる可能性があります。Pendlebury氏は、セキュリティを考慮せずに開発されたレガシーコードベースに基づく不適切なコーディング手法や、脆弱性や設定ミスが知られているサードパーティ製ライブラリの使用によっても、脆弱性がもたらされる可能性があると指摘しています。 さらに、必ずしも最も低コストというわけではありません。オープンソースツールは無料ですが、コストがかからないわけではありません。ツールを組織の環境に統合し、継続的に維持するためにかかる時間を考慮することが重要です。 キーステッド氏は次のように述べています。「純粋にオープンソースのツールを使用する場合、実装者は多くのサポート、統合、そしてメンテナンス作業を負担することになります。当社の調査データによると、サイバーセキュリティチームはセキュリティ運用を行うために人員を雇用しています。既にサポート付きの商用ツールを使用している場合、これらのツールに商用サポートがなく、コミュニティベースで組織が自ら解決しなければならない場合、どれほどの作業量が追加されるか想像してみてください。」 多くのセキュリティ機能はオープンソースツールに最適ですが、選択にはコストがかかる場合があります。デスクトップやエンドポイントのセキュリティに関連する機能は、良い選択肢ではありません。 Pivot Point Securityのセキュリティ評価責任者であるマイク・ガルギウロ氏は、次のように説明しています。「ネットワークの他のほとんどの部分では、オープンソース製品と有料製品はほぼ同じことを行います。ファイアウォールは侵入を許可するか許可しないかのどちらかです。侵入防止システム(IPS)は侵入を検知するか検知しないかのどちらかです。それ以外の場合は、他のセキュリティレイヤーが保護を提供します。しかし、今日の攻撃のほとんどはデスクトップやエンドポイントで発生し、通常はユーザーが何かをクリックしたりダウンロードしたりした際に発生します。これはリスクレベルの問題です。」 どのようなツールを選択すればよいですか? しかし、オープンソースのセキュリティツールを多くの分野で活用することは理にかなっています。ファイアウォールはその好例です。例えば、多くの中小企業はpfSenseなどのオープンソースツールを使用しています。セキュリティ情報イベント管理(SIEM)システム(OSSIMなど)やログ集約ツール(Graylogなど)も同様です。 これらのツールは確かに目的を達成できますが、有料ツールのすべての機能を備えているわけではありません。例えば、オープンソースのファイアウォールは機能が豊富ですが、ダッシュボードやより多くの自動化機能を利用するには、通常、有料のプロフェッショナル版が必要です。 Gargiullo 氏は、「オープンソースのセキュリティ ツールを使用する場合は、より多くの作業が必要になるため、基本的には予算と実際の時間および構成作業の間でトレードオフになります」と述べています。 例えば、Gargiullo氏は、高く評価されている侵入検知・防止ツール「OSSEC」を挙げています。このツールは優れており、多くの機能を備えていますが、設定ファイルに変更情報を追加するには手動操作が必要です。例えば、Windowsのアップデートでは、誰かが設定ファイルを正しい値に更新する必要があります。 これらすべてが採用を阻む要因にならないのであれば、オープンソースのセキュリティツールが人々が認識している以上に多く存在し、組織に適したツールを見つけるのが難しいことが原因かもしれません。しかし、いくつか参考になる経験則があります。 キールステッド氏は次のようにアドバイスしています。「これには十分な調査が必要です。まず、ソリューションを探す前に、ユースケースと解決しようとしている問題を明確に理解する必要があります。また、統合、パッチ適用、セキュリティ、稼働時間など、すべての責任を負うことになるため、現在のユースケースのニーズを満たす最もシンプルなツールを選択するのが賢明です。最後に、ドキュメントを確認してください。ドキュメントは完全で、最近更新されている必要があります。」 優れたツールが見つかったかどうかを判断する方法の一つは、サポートが提供されているかどうかです。ガルギウロ氏によると、最も成功しているオープンソースプロジェクトには、巨大なサポートコミュニティが存在しているそうです。 双方にとって有利な選択 多くの企業は、オープンソースのセキュリティツールとベンダーのツールを組み合わせることで、より大きな成功を収めています。これは特に、オープンソースツール上に構築されたベンダーツールに当てはまります。ある意味、両方の長所を兼ね備えたツールと言えるでしょう。 キールステッド氏は、「これにより、オープンソースを基盤として自社のエコシステムに統合している大手ベンダーからの安定したサポートに加え、運用の自由度と独立性が向上する」と述べた。 ほとんどの場合、組織の IT チームが何に適しているか、コストはいくらかかるか、許容できるリスクはどの程度かによって決まります。 ガルギウロ氏は、「組織が技術的に優れたITチームを擁していれば、オープンソースツールを使用してセキュリティ設定の90%以上を実現できます。理論的には、100%を達成することも可能です」と述べています。 ペンドルベリー氏は、組織がオープンソース、ハイブリッドモデル、あるいはプロプライエタリソフトウェアのいずれを選択するかに関わらず、最も重要なのは、業務に適したツールを見つけることだと述べています。主な課題は以下のとおりです。
ツールを選択した後は、セキュリティチームがツールを効果的に使用できるよう、管理された環境が文書化され、使用されているライブラリのログが作成され、脅威に関するアナウンスメントが購読され、ツールの機能が更新され文書化されていることを確認することが重要です。Pendlebury氏は、その他の重要なタスクとして、ソフトウェアの監査とテストのためのツールの開発、脆弱性と更新情報の受信、そしてツールの有効性を最大限に維持するためのコミュニティへのフィードバックの提供などがあると述べています。 |
