セキュリティでもOSSならココまでできる--セキュリティ関連OSS成熟度評価

　日本OSS推進フォーラムはこのほど、セキュリティ分野でのオープンソースソフトウェア（OSS）の成熟度を評価した「セキュリティ関連OSSの成熟度評価」（Ver 1.0）を公表した（PDF形式）。同フォーラムのサーバ部会に設置されているセキュリティタスクフォース（TF）によって作成されている。

　この文書は、「セキュリティ分野でOSSがどの程度カバーしているのか、どこをカバーしていないのかを明確にする」（主査を務める、サイオステクノロジーの面和毅氏）という目的で、商用製品とOSSでそれぞれカバーしている範囲を明確化している。

　たとえば、侵入検知システム（IDS）では商用製品として「ISS Real Secure Network Sensor」「Enterasys Dragon Sensor」があり、OSSでは「Snort」「prelude」があるが、侵入防御システム（IPS）になると商用製品では「ISS Proventia Network IPS」「CheckPoint IPS 1」などがあるのに対して、OSSには該当するソフトがないといった具合にまとめられている（詳細は「セキュリティ関連OSSの成熟度評価表」にある、PDF形式）。

　この文書では、ネットワークとサーバの2つのカテゴリで、暗号化や認証などの各項目をまとめているとともに、それぞれの各項目に対応する商用製品、OSS製品のカバーする範囲を記載、またOSS製品の利用状況を「◎（よく利用されている）」「○（たまに利用されている）」「△（あまり利用されていない）」「×（利用されていない）」で評価している。

　OSS製品が利用されていない理由については、サポート、信頼性、性能、機能、日本語対応などの観点からチェックしている。さらに、商用製品に対応するOSS製品が存在していない場合には、存在していない理由を、マーケットサイズや特許、法律、標準化などの観点からチェックしている。

　同文書では、これらの評価を総合的に判断して、各OSS製品に製品としての完成度を加味した「推奨度」を記載している。この推奨度は、いわば「OSS製品のオススメ指数」（面氏）といった意味あいを持っている。

　このオススメ指数の高かったものは以下の通りだ。

• 10点（OSSを積極的に利用すべきもの）
  • ネットワークファイアウォール：NetFilter ＋ Iptables
  • PKI：OpenSourcePKI（NSS、JSS、PSM）
  • 電子署名、電子証明書：GPG、OpenSSL
  • 通信ログ収集：WireShark（ethreal）
  • 認証：OpenLDAP、FreeRADIUS、PAM
  • 脆弱性検査ツール：Nessus、nmap
  • 暗号化：OpenSSL