ITエンジニア/デザイナ向けにオープンソースを毎日紹介

オープンソース界隈においてセキュリティに対する意識が高まっています。昨今の個人情報流出や情報漏洩など様々なセキュリティインシデントが起こっている中、オープンソース・ソフトウェアについてもこれまで以上にセキュリティが求められるようになっています。

オープンソース・ソフトウェアについてはソースコードがオープンであることもあり、バグやセキュリティ上の不具合についても露見します。そういった中でオープンソース・ソフトウェアのセキュリティをどう考えるべきか、DB/Webセキュリティサービスを提供するペンタセキュリティシステムズにお聞きしました。

エンジニアにとってセキュリティは面倒なもの?

— オープンソースのビジネス採用における変化を教えてください

オープンソースは2つの使われ方をしています。1つはエンジニアの人たちが自分たちの裁量でできる範囲が広くて採用するケース、もう一つはライセンス料やベンダーロックを嫌ってオープンソース・ソフトウェアを採用するケースです。前者はいかにもオープンソース・ソフトウェアとして分かりやすい利用法ですが、後者は責任範囲の明確さが求められたりセキュリティポリシーに対応しているかどうかを問われるようになっています。

ペンタセキュリティシステムズ 桜田社長

— オープンソースのセキュリティニーズについて

かつてオープンソース・ソフトウェアは商用製品に比べてセキュリティに不安があるといった声がありましたが、ここ10年で状況は様変わりしています。普通に商用製品の代わりに採用されることが多くなっています。そういった中では不具合があったら直せばいいといったかつてのギークなオープンソース思考が通用しなくなっているのが事実です。

ビジネスとしてオープンソース・ソフトウェアを使う人たちが増えている中では、不具合があったからといって簡単に修正したりバージョンアップできる訳ではありません。その意味ではオープンソース・ソフトウェアの品質が十分に高まったことで、商用製品がこれまで抱えてきたような問題が降りかかりつつある状況と言えます。

— オープンソース採用企業のセキュリティへの取り組み

最近では個人情報保護法やISMSを導入する企業がある中、そのセキュリティポシリーに準拠しているかどうかオープンソース・ソフトウェアにおいても求められるようになっています。つまり運用サイドにおいてセキュリティレベルを高めるために導入検討するのではなく、トップダウンでセキュリティレベルの引き上げが求められるのです。

セキュリティを高めるということは一般的に運用の柔軟性を失わせたり、手間を増やします。そのためエンジニアサイドとしてはセキュリティに対して積極的ではないことが多いのです。

— 外部からの攻撃について教えてください

セキュリティの難しいところは攻撃者が想定外の方法で攻撃してくるということです。あらゆる対策を講じたところで、その思惑の外から攻撃が仕掛けられます。こんなことはないだろう、と思った時点でそれは想定の範囲になります。実際の攻撃はその想定外にあるのです。

一般的にサーバ、ネットワークにおいてどれだけセキュリティ対策を行っていたとしても、たった一つの脆弱性があるだけでそこから機密情報が抜き取られてしまいます。その意味において万一セキュリティインシデントが起こったとしても、それが適切に暗号化されていれば大きな被害にはつながらないというのが利点になります。

セキュリティニーズが高まるタイミングはいつか?

— 昨今のセキュリティインシデントについて教えてください

数年前はWebサイトの改ざんがメインで、例えばアラビア語や中国語で何らかのメッセージを訴えるものが多かったです。それに対して最近ではデータベースから特定の情報を盗み出したり、ウィルスをばらまくための踏み台にしているケースが増えています。

そうなった時に誰がセキュリティを担保するのかが非常に難しくなります。アプリケーション開発者なのか、ネットワークエンジニアなのか、サーバ、データベースエンジニアなのか…どこか特定のレイヤーが安全であれば問題ないという時代ではないと考えています。その中で最終的にデータベース内のデータを盗まれるのが問題であるならば、セキュリティとしてデータベースをどう守っていくかが重要ではないでしょうか。

— セキュリティへのニーズが高まる時は?

残念なことに一番セキュリティ意識が高まるのはセキュリティインシデントが起こったときです。しかもそれは同じ業種についてだけというのも特徴的です。例えば旅行会社がセキュリティインシデントを起こしたりすると、右へならえで他の旅行会社が一斉にセキュリティチェックを求めます。しかしペットショップはセキュリティチェックをしません。つまり普段は自分たちには関係ない、自分たちは大丈夫という意識が根底にあるのです。それが隣が被害にあったりすると、突然自分の身近に感じられるようになるのです。

— 実際インシデントはどのようなサイトで起こっているのでしょうか?

昨年半年のデータで見た時にインシデントは様々な業種、業界で起こっています。自治体などもハッキングされたりデータを抜かれたりしているのですが、興味深いのはセキュリティリテラシーの低そうな人たちが使うWebサイトが狙われているということです。これはデータを抜くためでなく、ウィルスをばらまくための踏み台にされている場合が顕著です。

つまりウィルス対策ソフトウェアを入れていなかったり、出てきたダイアログを気にすることがないような人たちのPCへ侵入し、別なサイトをハッキングするのに使ったりDDOSアタックに使ったりするのです。リテラシーの低い人たちはウィルスを流し込まれたことにも気付かずにそのまま使い続けていたりするのが実情です。

— 一番身近にできるセキュリティ対策はありますか?

コストをかけずにできる対策は幾つもありますが、まずはセキュリティポリシーを立てることだと思います。つまり運用を明確にするということです。例えばパスワードを紙に書かないといったことや、席を立つ場合はロックするといったようなルールを決めることです。

[PR] 試用も可能なMyDiamoを使ってカラム単位のDB暗号化を実現しましょう!

MySQL/MariaDBを暗号化!

ペンタセキュリティシステムズではMySQL 5.1/MariaDB 5.5に対応した暗号化ソリューションMyDiamoを提供しています。カラム単位の暗号化ができます。さらにアクセス制御や権限管理、監査機能も提供しています。

データベースの暗号化とあって、可逆可能な暗号化になっています。しかし鍵は一つではありません。DBアカウントやIPアドレスごとのアクセスコントロールが可能です。さらにMyDiamoによってDB管理者とセキュリティ管理者の権限分離が実現します。従来、データベース管理者は全てのデータへのアクセスが可能だった訳ですが、あくまでもデータベースの管理者であると定義できるようになります。

暗号化前後のパフォーマンス劣化を7%未満に抑えており、高速でセキュアなデータベースを実現します。さらに部分暗号化によってインデックス検索にも対応します。個人非商用目的または機能検証時には無償ライセンス版が使えますので、データベースのセキュリティ向上に試してみてはいかがでしょうか。

MySQLとMariaDB、MariaDB、MyDiamoための最初の包括的な暗号化ソフト、個人的な使用のための無料 - MyDiamo_JP

ペンタセキュリティ | DBセキュリティ | Webセキュリティ | ペンタセキュリティシステム

次はaegifが考える企業でOSSを開発するメリット、デメリット!です。オープンソース・ソフトウェアのコンサルティングおよび自社でもOSS開発を行っているaegif社に詳しく伺いました!


10周年記念特集!「オープンソース×10年」

 

MOONGIFTの関連記事

コメント

  • MOONGIFTプレミアム
  • Mobile Touch