日本OSS推進フォーラムはこのほど、セキュリティ分野でのオープンソースソフトウェア(OSS)の成熟度を評価した「セキュリティ関連OSSの成熟度評価」(Ver 1.0)を公表した(PDF形式)。同フォーラムのサーバ部会に設置されているセキュリティタスクフォース(TF)によって作成されている。
この文書は、「セキュリティ分野でOSSがどの程度カバーしているのか、どこをカバーしていないのかを明確にする」(主査を務める、サイオステクノロジーの面和毅氏)という目的で、商用製品とOSSでそれぞれカバーしている範囲を明確化している。
たとえば、侵入検知システム(IDS)では商用製品として「ISS Real Secure Network Sensor」「Enterasys Dragon Sensor」があり、OSSでは「Snort」「prelude」があるが、侵入防御システム(IPS)になると商用製品では「ISS Proventia Network IPS」「CheckPoint IPS 1」などがあるのに対して、OSSには該当するソフトがないといった具合にまとめられている(詳細は「セキュリティ関連OSSの成熟度評価表」にある、PDF形式)。
この文書では、ネットワークとサーバの2つのカテゴリで、暗号化や認証などの各項目をまとめているとともに、それぞれの各項目に対応する商用製品、OSS製品のカバーする範囲を記載、またOSS製品の利用状況を「◎(よく利用されている)」「○(たまに利用されている)」「△(あまり利用されていない)」「×(利用されていない)」で評価している。
OSS製品が利用されていない理由については、サポート、信頼性、性能、機能、日本語対応などの観点からチェックしている。さらに、商用製品に対応するOSS製品が存在していない場合には、存在していない理由を、マーケットサイズや特許、法律、標準化などの観点からチェックしている。
同文書では、これらの評価を総合的に判断して、各OSS製品に製品としての完成度を加味した「推奨度」を記載している。この推奨度は、いわば「OSS製品のオススメ指数」(面氏)といった意味あいを持っている。
このオススメ指数の高かったものは以下の通りだ。
- 10点(OSSを積極的に利用すべきもの)
- ネットワークファイアウォール:NetFilter + Iptables
- PKI:OpenSourcePKI(NSS、JSS、PSM)
- 電子署名、電子証明書:GPG、OpenSSL
- 通信ログ収集:WireShark(ethreal)
- 認証:OpenLDAP、FreeRADIUS、PAM
- 脆弱性検査ツール:Nessus、nmap
- 暗号化:OpenSSL
