|
つい最近まで、オープンソースのウェブソフトウェアは企業にとってニッチな分野でしたが、今ではネットワークのほぼあらゆる側面で多数のオープンソースのウェブシステムが稼働しています。ネットワークインフラ機器からストレージシステム、クラウドベースのエンタープライズアプリケーションに至るまで、オープンソースのウェブアプリケーションはあらゆる企業に浸透していると言っても過言ではありません。 企業ではオープンソースのウェブアプリケーションが広く採用されているにもかかわらず、脆弱性を積極的に発見したり、オープンソースシステムを最新の状態に保ったりしている人は驚くほど少ない。オープンソースを取り巻く偏見は、Novell NetWareやMac OS Xといった特定のオペレーティングシステムを取り巻く偏見ほど顕著ではない。オープンソース宣言には、「オープンソースはオープンソースであるからこそ「安全」である」と謳われている。これは、オープンソースコードが広く利用可能であるということは、誰もが厳密に監査し、脆弱性を修正して攻撃から安全になっていることを前提としている。言い換えれば、誰もが他者が脆弱性に対処していると想定しているのだ。 明らかに、脆弱性の問題を他者が処理していると想定することは、長期的な情報リスク管理戦略として健全とは言えません。SSLをめぐるセキュリティ問題はその好例であり、オープンソースにはセキュリティ上の課題がないわけではないことを示しています。さらに、Webアプリケーション脆弱性スキャナプロバイダーであるNetsparkerの最近の調査では、企業が信頼し、頼りにしている多くのオープンソースWebアプリケーションに、多数のセキュリティ脆弱性が存在していることが明らかになりました。同社は2011年以降、396のオープンソースWebアプリケーションをスキャンし、クロスサイトスクリプティング(180)、ファイルインクルード(16)、SQLインジェクション(55)など、269件の脆弱性を発見しました。 ベンダーベースの調査データにはしばしば懐疑的でしたが、Webアプリケーションの脆弱性と侵入テストを独自に実施した結果、同じ結論に達しました。実際、脆弱性のほとんど(特に重大なもの)はオープンソースプラットフォームに存在し、その数ははるかに多いのです。スキャナで検出できるWeb脆弱性は半分に過ぎず、残りの半分は古いWebブラウザに潜んでいることがわかりました。これは従来のWebセキュリティの枠を超え、あらゆるアプリケーションに影響を与える可能性があります。 オープンソースのウェブアプリケーションが攻撃を受けないと盲目的に信じてはいけません。たとえそれが「無料」であったり、重要度の低いシステムで実行されていたりしてもです。企業は、これらのシステムを継続的なセキュリティテストに含めるだけでなく、商用ツールまたはオープンソースツールを用いた静的ソースコード解析の実施も検討する必要があります。また、企業は、通常のパッチ管理手順にオープンソースソフトウェアの部分を組み込む必要があります。企業は、オープンソースアプリケーションをシステム監視およびアラート機能、そして全体的なインシデント対応手順に統合する必要があります。最も重要なのは、オープンソースシステムを常に監視し、決して「監視対象外」にしないことです。 |
