【 ここから本文 】
セキュリティ・マネジメント
ソーシャルブックマークに登録 :
印刷用ページの表示
セキュリティもオープンソースで!
データセンターでもオープンソースの導入が進行中
(2007年06月25日)
オープンソース技術はすでにほとんどのデータセンターに浸透し、急速にその影響を拡大しつつある。だが、新しいLinuxサーバをラックに放り込むことには躊躇しないデータセンターの管理者たちも、自社のネットワークを魑魅魍魎(ちみもうりょう)の世界と隔てるためのファイアウォールの構築となると、途端に、オープンソース技術の利用に臆病になる。その裏には、セキュリティだけはオープンソースでは安全性、安心性が保証されないとの思い込みがいまだにあるようだが、もはやそうした考えは捨て去るべきであろう。
ジョエル・スナイダー
Network World 米国版
オープンソース・セキュリティ・ツールには、商用セキュリティ・ツールなどに比べると、4つの優位点がある。それは、脅威に直面したときに機敏な対応が取れること、ソース・コードを入手して自主的に開発することが可能であること、個々の要求に応じて容易にカスタマイズできること、そして低コストであることだ(囲み記事『オープンソースの優位性を確認する』参照)。
以下では、そうした点を念頭に置いて、無償で入手することのできるセキュリティ製品をいくつか紹介することにしたい。
オープンソースならではの機敏な対応
電子メール・セキュリティ・ゲートウェイは、オープンソース製品が機敏性を発揮できる代表的な分野だ。本来は、異種のメール・システム間で相互運用性を実現するために提供される製品だったが、機能の重点がしだいにスパムやウイルスに対する防御に移り、最近ではフィッシングやコンプライアンス対策が機能リストのトップに置かれるなど、主にセキュリティ機能を提供する製品として認知されるようになってきた。
メール・ゲートウェイ市場は今も激しく変化している。それにつれて、市販製品も目まぐるしい興亡を繰り返し、製品に対する要望も日々変わっている。こういう変化の激しい市場に対応するのはなかなか難しいが、オープンソース・ソリューションを選択すれば、複数のコンポーネントを組み合わせることによって、自前のゲートウェイを構築することができる。それによって、統合化の苦労は増えるが、それを補って余りある機敏性が得られることになるのだ。
オープンソース・セキュリティの広告塔的な存在と言えるアンチスパム・ツール「SpamAssassin」は、「Barracuda」を含むポピュラーなメール・ゲートウェイ製品の中でも、最もパワフルな製品だ。ただし、SpamAssassinはデータセンター向きの製品とは言えない。
この製品を利用する企業は、Webフロントエンド・アプリケーションを自主開発(あるいは既存のオープンソースを導入)し、複数のシステムに対応可能なフレームワークを見つけなければならないからだ。
また、ユーザーのチェックを受けるまで、疑わしいメールを隔離しておく領域や、メールの配信ツール、定期的な検疫管理、リポートとアラート機能、システム管理なども用意する必要がある。さらに、電子メールを送信/待機/受信するために、SpamAssassinをラップするメッセージ転送エージェント(「Postfix」など)も必要になる。
オープンソース・プロジェクトの中には、「MailWasher」サーバや「Maia Mailguard」などのように、アンチスパム・エンジンに管理ツールや検疫機能を統合しているものもあるが、SpamAssassinに関しては、そういった機能をアクティブに開発しているプロジェクトやユーザー・コミュニティは1つも存在しないのである。
また、SpamAssassinは、肝心のスパム識別においても、もはや最先端の機能を有しているとは言い難い。現在では、レピュテーション・ベースのフィルタリングをコンテント・フィルタと組み合わせれば、きわめて高い効果を発揮するということが明らかになっており、「Sender ID」や「DomainKeys」といった新しいプロトコルもフィッシング攻撃に対して効果的だということがわかっているが、SpamAssassinはそうした新機能をカバーしていないのである。
もっとも、無償で入手可能なレピュテーション・ベースのサービスとアンチスパム・ツールを統合することは不可能ではない。だが、統合に際しては、メール・ゲートウェイの設計やオープンソース・アプリケーションに関する高度な専門知識が要求される。
また、メール・セキュリティ・ゲートウェイにはアンチウイルス機能も不可欠だ。オープンソースで信頼できるアンチウイルス製品と言えば「ClamAV」くらいだが、電子メール・ゲートウェイがLinuxベースなのであれば、UNIX上で動作する市販製品がいくつか提供されているので、それらも選択肢となろう。
その他のアンチスパム・エンジン、例えば「CRM114」「DSPAM」「Bogofilter」などは、データセンターのような大規模な環境にはあまり向いているとは言えない。こうした製品でスパム撃退率を高めるためには、ユーザーのトレーニングが欠かせないからである。
ただ、ユーザーが独自のカスタム・ゲートウェイを構築しているのであれば、さまざまなフィルタリング・ツールを試してみて、自社のシステムに適合するものを探してみるのもよいだろう。
オープンソースの優位性を確認する
オープンソースのアドバンテージは、セキュリティ市場でも強く求められている。そのアドバンテージとは、具体的には、「機敏性」「コントロール」「カスタム化」「低コスト」の4つだ。
オープンソース・コンポーネントをベースとするセキュリティ・アプライアンスが豊富に市場に出回っているというのに、なぜデータセンター・マネジャーは苦労して自社開発の道を選ぶのだろうか。それは、オープンソースには本文の冒頭で述べたような4つの優位性──機敏性、コントロール、カスタム化、低コスト──があるからである。
セキュリティの世界では、機敏性とは脅威に対する即応性を意味する。これはつまり、ネットワークの安全性を維持するために、ポリシーや製品の変更を瞬時に行えるということである。パッケージ・ソリューションの場合、新しい脅威には新しい製品で対抗することになる。
一方、既存のツールを利用して独自にアプライアンスを構築しておけば、なにかあったとき、コンポーネントやコンフィギュレーションを即座に変更することができる。もっとも、この点に関しては、オープンソース・ツールであるかどうかは、あまり関係ないかもしれない(問題になるのは、主に、パッケージであるか独自開発かという点)。
ちなみに、一般に電子メール・セキュリティ・ゲートウェイにはウイルス・スキャナを装備するが、この分野の製品としては、オープンソース・ツールであれば「ClamAV」、また商用ツールであればトレンド・マイクロやマカフィー、ソフォスなどが提供している製品がある。なお、アンチウイルス・エンジンの変更は、アプライアンスを独自開発していれば容易だが、パッケージ・ソリューションを採用している場合には、それほど簡単ではない。
データセンターにおいては、コントロールという言葉は多様な意味を持つ。しかし、一般的には、どこを押せばどうなるか知っていること、すなわちオープンソース・ツールを自前で修正できることを意味する。そのほか、コントロールには、製品の利用/中止を自主的に決定できるという意味も含まれる。
セキュリティ市場はアクティブだが、その度合いがちょっと激しすぎる嫌いもある。今日、最高の製品を開発した小さなベンダーが、明日には“ドットコム・スクラップ”になってしまっていることも珍しくない。また、ベンダーが買収され、新製品が1年程度で製造中止の憂き目を見ることもある。目覚しい成功は、製品を圧迫する要因にもなりうるのだ。オープンソース・コードであれば、商用ベンダーと同じように開発組織が突然なくなったとしても、(自前でコードを修正したりすることによって)それに対応することができるわけだ。
カスタム化は、昔からオープンソースの利点の1つであった。それは、セキュリティ分野においても同じである。つまり、もし市販製品が特定の企業固有のセキュリティ要件にマッチしていなかった場合には、オープンソース・コンポーネントを組み合わせることによって、ニーズを満たす──といったことも可能なわけだ。
カスタム化は、特に大規模なデータセンターの場合、しばしばコントロール面で重要になる。例えば、データセンターで、ネットワークのセキュリティ・インフラの一部とやり取りする必要のあるシステムをプロビジョニングした場合、自社で構築したオープンソース・ツールであれば、コンフィギュレーションにJavaベースのGUIを必要とするような市販製品と違って、コンフィギュレーション・ファイルやコマンドラインを使ってコントロールすることができるのである。
最後に、オープンソースに関する議論で必ず指摘される優位性──コスト──に目を向けてみよう。もちろん、予算上、データセンターのたった1台のアプライアンスのコストが問題になることは、まずない。しかしながら、コストはどんどん膨らむものだ。
例えば、電子メール・セキュリティ・アプライアンスは、一般的にユーザー単位、機能単位(スパム、アンチウイルスなど)、年単位のライセンス契約形態をとっている。オープンソース・コンポーネントでゲートウェイを自主開発しようとする企業にとっては、そのライセンス料をインセンティブと見なせるわけである。
侵入検知システム・センサーを1台だけ導入するというようなケースならともかく、100台以上も導入するようなケースでは、オープンソースを採用することで大幅なコスト削減を図ることができるはずだ。
