どんなツールが必要か
担当者の教育訓練を十分に行いさえすれば、利用できるオープンソースのセキュリティ関連ツールはいくらでもある。実際、数が多すぎて特定のツールを推奨するのは困難だ、とSweeney氏は言う。「BackTrack 2は必要なセキュリティツールがほぼすべて揃ったセキュリティ用途のディストリビューションの1つだ。BackTrack 2のほかにも、よく知られたオープンソースの脆弱性スキャナNessusや、Webアプリケーションのセキュリティを評価するオープンソースツールを集めたOWASPのスイートがある。クローズドソースのソフトウェアとしては、HPのWebInspectとIBMのInternet Scanner Softwareが、それぞれOWASPのツール群とNessusに相当する。どれもすばらしいツールだが、オープンソースにせよクローズドソースにせよ、1つを選んでセキュリティの評価を行うと判断を誤ることになる」
「組織は、セキュリティとセキュアな環境をもたらすさまざまなモデル、技術、手法を把握する必要がある。これらの要素は、セキュリティ対策時に必要となる重要な手段だ。たとえばCLASPのようなモデルは、システム内部のセキュリティ構築のための優れたプラットフォームになる」(Schneider氏)
まとめ
最近の企業は、ファイアウォールをインストールしてルールをいくつか定義するだけでは保護できない。デジタル資産であるソフトウェアとそこに保持しているデータ、双方の価値を理解する必要がある。また、セキュリティの確保は、現状、そして将来の脅威を認識している優秀な人材がいて初めて実現できるものだ。
本当にオープンソースソフトウェアのほうがセキュリティ問題の影響を受けにくいのか、という問いに対する答えはまだ出ていないが、ソースコードを参照できることは大きな利点である。少なくともセキュリティ・コンサルタントを雇う余裕のある顧客にとってはそうだろう。というのも、オープンソース・プロジェクトがどれほどの数のセキュリティ専門家によってチェックされているか、といったデータは概して入手できず、そうした判断は困難だからだ。もちろん、セキュリティを中心に据えた開発モデルが標準になれば、アプリケーション自体のセキュリティは確実に向上するだろう。オープンソースおよびクローズドソースのセキュリティツールは数多くあるが、たとえ業界で最も優れたツールを導入しても、その効果を引き出す術を知っていないとあまり役には立たないことを企業は忘れてはならない。