オープンソースソフトを安全に使うための5つのポイント：商用ソフトより安全？

オープンソースソフトウェアはSMBにとってお得な選択肢に見える。だが「オープンソースソフトウェアはセキュリティに強い」という評判通り、安心して使えるのだろうか。

≫ 2007年12月21日 04時45分公開

[Joel Dubin，TechTarget]

　オープンソースソフトウェアは中堅・中小企業（SMB）にとってお得な選択肢に見える。Webで無料配布されていて自由に利用できるため、コストは必ず予算内に収まる。それに、既製の商用ソフトウェアより安全だとされている。

　しかし、「オープンソースソフトウェアはセキュリティに強い」という評判通り、安心して使えるのだろうか。

　確かにオープンソースソフトのソースコードは公開されており、世界中の開発者やソフトウェア専門家が、解析、テスト、ハッキング、チューニングを何度となく繰り返している。しかし、オープンソースソフトウェアも商用ソフトウェアと同様に、強固な設定、パッチ作業、ロックダウンなどが必要だ。

　以下では、SMBがオープンソースソフトウェアの安全とセキュリティを確保するために導入すべき5つのベストプラクティスを紹介する。

ソフトウェアインベントリ

　ソフトウェアインベントリ（ソフトウェアの目録作成）を行う。インベントリは、社内のシステムにインストールされているソフトウェアを管理する手段を提供する。小規模な企業でも、ソフトウェアアプリケーションの数は把握できなくなりやすい。商用ソフトウェアは購入時に請求書を保存するため、それを手掛かりに記録を管理できる。だが、オープンソースソフトウェアはWebから直接ダウンロードできてしまうので、入手したことを示す書類などは残らない。

　このため、すべてのオープンソースソフトウェアについて、ダウンロードした日時のログを取っておかなければならない。また、インストール前に必ず完全性をチェックする必要もある。オープンソースソフトウェアは、ダウンロードしたものが全体として完全であることを確認できるように、MD5ハッシュやGNU Privacy Guard（GnuPG）署名とともに配布されている。ソフトウェアが完全性チェックに合格せず、ダウンロードし直す必要があった場合は、ログに記入しておかなければならない。

パッチ管理

#CmsMembersControl .CmsMembersControlIn {width:100%;background:url(https://image.itmedia.co.jp/images/spacer.gif) #DDD;opacity:0.05;filter:progid:DXImageTransform.Microsoft.Alpha(Enabled=1,Style=0,Opacity=5);z-index:1;}