【連載】
エンタープライズ・オープンソース［ベスト・セレクション］

第4回セキュリティ

（2008年04月02日）

もともとコミュニティ・ベースで開発が進められてきたオープンソース・ソフトウェアだが、今や多くの有力ベンダーがサポートし、企業が安心して利用できる環境が整っている。もちろん、OS、Webサーバ、メール・サーバなど、一部の分野では以前から企業利用が進んでいたが、最近は多様な分野において「エンタープライズ・オープンソース」が本格化しているのだ。本連載では、そうしたエンタープライズ・オープンソース・ソフトウェアを8分野に分け、各分野において特にすぐれたものを紹介していく。第4回目となる本稿では、セキュリティ分野における秀逸なソフトを取り上げる。

Tom Bowers
InfoWorld米国版

セキュリティ
商用ソフトの隙間を縫って発展してきたオープンソース・セキュリティ

　セキュリティ分野では、多くのオープンソース・ソフトウェアが活躍している。これは企業ユーザーが必要としている機能を、ベンダーの販売する商用ソフトウェアだけではカバーしきれなかったからである。企業が直面しているセキュリティ上の問題が、ベンダーのセキュリティ・ソフトウェアでは解決できないという事態に陥ったとき、多くの有能なセキュリティ研究者はオープンソースを利用して、その難局を乗り切る手助けをしていたのである。

　現在、ウイルス対策、スパム対策、ファイアウォール、VPN、侵入検知システムをはじめとする多くの分野に、オープンソース・セキュリティ・プロジェクトが存在している。ここでは脆弱性検査、侵入防止、ウイルス対策、スパム対策、ファイアウォール、SSL VPN、セキュリティ・テスティング・ベスト・プラクティスの各分野でBOSSIEを受賞した製品を紹介しよう。

BOSSIE受賞のカギはコミュニティの充実度

画面1：「Nessus」の起動画面。ここから詳細なオプションを設定した後に脆弱性検査を実施する

　脆弱性検査分野では、ユーザーから圧倒的な支持を得ている「Nessus」がBOSSIE（Best of Open Source Software Awards）を受賞した（画面1）。Nessusは、専門のテスターからも、最もすぐれたセキュリティ・ソフトウェアだと評価されている。

　最新の脆弱性検索エンジンと診断制御ツールで構成されているNessusは、検索対象となるコンピュータのOS、ポート、サービス、アプリケーションなどをスキャンし、脆弱性を検知する。診断結果リポートは冗長だが、詳細な結果が得られると考えれば腹も立たない。

　Nessusが侵入者の入り口を検知するのに対し、侵入防止の分野でBOSSIEを受賞したのは、IDS（Intrusion Detection System：侵入検知システム）の「Snort」である。これは、リアルタイムのトラフィック分析に加え、パケット・ログ取得／プロトコル分析／コンテンツ監視の機能を備えている。

　NessusとSnortに共通する特徴は、コミュニティによるサポートが充実しているという点だ。例えばSnortプロジェクトは「ACID（Analysis Console for Intrusion Databases）」、「SnortSnarf」、「Swatch」、「SnortCenter」といった、さまざまなアドオン・プロジェクトを生み出している。

　ウイルス対策分野では、すぐれた性能と使いやすさを誇る「ClamAV」がBOSSIEに輝いた。Linux/UNIX系のOS上で動作するClamAVはシグネチャによるパターン・マッチング方式を採用している。このシグネチャは頻繁にアップデートされている。

　スパム対策（メール・セキュリティ・ゲートウェイ）分野では「SpamAssassin」がBOSSIEを獲得した。SpamAssassinは、すぐれた拡張性を誇り、さまざまな場所で利用することができる。ブラック・リストとベイジアン・フィルタを用いる従来の手法に加え、学習可能なニューラル・ネットワーク・エンジンを用いてスパムを特定する。

　ファイアウォール分野でBOSSIEを獲得したのは、ネットワーク・トラフィックを監視する「IPCop」だ。IPCopは、Linuxディストリビューションとして提供されており、ネットワーク・トラフィックにセキュリティ・ポリシーを課すLinuxコンピュータと考えることもできる。なお、競合する「SmoothWall」もIPCopと同様の機能を提供するが、インタフェースはIPCopのほうが数段洗練されている。

NSAが開発した「SELinux」
あらゆるOSに対応する「OpenVPN」

　オープンソースの開発は、民間だけで行われているわけではない。アプリケーション・ファイアウォール分野でBOSSIEを獲得した「SELinux」は、NSA（米国家安全保障局）が開発したものだ。Linuxカーネルの拡張モジュールであるSELinuxの特徴は、強制アクセス制御が可能な点だ。root権限を排除し、プロセスに対するユーザー権限を必要最小限にとどめることで、あるプロセスのアクションが別のプロセスに影響しないように設計されている。さらに、コミュニティ・サポートが充実しているのも大きな特徴だ。なお、SELinuxの競合と見なせるのは、米国Novellのオープンソース・プロジェクトで「SUSE Linux」専用の「AppArmor」である。

　SSL-VPN分野では、競合製品の追随を許さない「OpenVPN」がBOSSIEに輝いた。これは、通常のインターネット通信にSSLによる暗号化を施し、VPNを構築するソフトウェアである。ブロードバンド接続したリモート・サイトから中央のデータセンターに容易かつ迅速に接続することなどを可能とするものだ。OpenSSLが対応するすべての暗号方式と暗号キーのサイズをサポートしており、柔軟性も高い。

　セキュリティ・テスティング・ベスト・プラクティスの分野でBOSSIEを受賞したのは「OSSTMM（Open Source Security Testing Methodologies Manual）」である。OSSTMMは、ソフトウェアではなく、セキュリティに関する包括的なテスト・フレームワークであるが、セキュリティ・ツールとしての貢献度は高い。一般的な物理セキュリティおよび情報セキュリティはもちろん、インターネット上の詐欺やソーシャル・ネットワークに対する攻撃への対処までを網羅している。

（月刊Computerworld 2008年4月号に掲載）