TOP調査レポート> 本番運用に近い環境で検証する必要性を実感




オープンソースの適用可能性を示す
オープンソースの適用可能性を示す

第14回:バッファオーバーフローとサーバ側のセキュリティ対策を考える
著者:芝 国雄   2006/9/5
前のページ  1  2  3  
本番運用に近い環境で検証する必要性を実感

   実はこの記事を書く前は、OSSの開発プロジェクトが登録・管理されているWebサイト「SourceForge.net」や「freshmeat」などを検索して、まだあまり知られていないOSSを発掘してみようと考え、実際にいくつかのOSSを入手し使ってみた。

   そのうちのいくつかのOSSは、非常に完成度が高く良くできているものもあったが、残念ながらそうではないものもあった。

   そこで感じたのは、ウィルスやスパイウェア(世の中には16万種類以上のスパイウェアが存在すると言われている)、スパムメール、不正アクセスなどを検出する精度や処理速度など、ソフトウェアの性能を短期間で評価、検証することは非常に難しいということだ。

   そしてセキュリティ関連のソフトには、安定性や信頼性が求められるので、メモリやCPUなどのハードウェアリソースの使用状況などは、本番運用に近い環境で検証する必要があることも強く実感した。


OSS商用製品や公式サイトはかなり役に立つ

   すでに多くの稼働実績があるOSSとして、Red Hatなどのディストリビューションに含まれるものは有用だ。

   ここでRed Hatを取り上げるのは、例えばSourceForge.netだけでも10万以上のプロジェクトが登録されているように膨大な数が存在するOSSの中から、成熟したOSSを選び、ミッションクリティカルな用途でも使えるように検証して不具合を修正し、最終的に数百個に絞り込んで製品として出荷をしている。

   つまり、専門家によって厳重なテストを繰り返し、そのテストに合格した製品といえるからだ。

   もちろん、性能評価の情報は複数の情報源から収集することが望ましい。参考になる情報源として、独立行政法人情報処理推進機構のWebサイトを紹介する。このサイトは、システム管理者やソフト開発者、経営者や管理者など、サイトの利用者にあわせて情報を掲載しているのでとても親切だ。

独立行政法人情報処理推進機構
http://www.ipa.go.jp/index.html

   同サイトの中に、OSSのセキュリティに関するレポートや、OSSの性能評価、導入事例、実際に使用したマシンスペックなどの情報も閲覧できるので参考にしてほしい。

OSSのセキュリティに関するレポート
http://www.ipa.go.jp/security/fy14/reports/oss_security/

マシンスペックなどの情報 http://www.ipa.go.jp/software/open/2005/benchmarking/1116.html

   また「情報セキュリティ対策ベンチマーク」と名付けられた、一問一答形式のセキュリティ対策診断もあり、現状の対策レベルを知ることも可能だ。


前のページ  1  2  3  

イーシステム株式会社 芝 国雄
著者プロフィール
芝 国雄
1995年、日本グプタ(現イーシステム)入社。米グプタ社製品の統合開発ツールの「Team Developer」、RDBMSの「SQLBase」といった製品の日本語化をはじめ技術支援や販売、マーケティング業務に従事。主に、ユーザ企業のシステム開発の現場で、システムの設計に関わる事前調査や助言などの上流工程から、プログラミング時のトラブルシューティングまで、幅広く支援していた。2000年4月、携帯電話を活用したワイヤレスソリューション事業の立ち上げに従事。現在は新しいチャレンジに向け充電中。


INDEX
第14回:バッファオーバーフローとサーバ側のセキュリティ対策を考える
  はじめに
  バッファオーバーフローは頻発するバグの1つ
本番運用に近い環境で検証する必要性を実感