セキュリティもオープンソースで!――データセンターでもオープンソースの導入が進行中 4ページ

安価で高性能なVPNツールとして

 集中管理されたファイアウォールVPNデバイスは安価だが、大規模なサイト・ツー・サイトVPNを構築しようとすればコストがかさむ。なかでもいちばんの問題は、“ベンダーの混在”だ。というのも、ベンダーが提供するファイアウォール管理ツールには、マルチベンダー対応でないものが少なくないからだ。また、その裏には、VPNには十分対応できないがブランチ・オフィス・ファイアウォールとしてなら不都合なく使えるため、異機種が混在する(マルチベンダーの)環境をあえて変更しようとはしないでいるユーザー側の問題もある。

 この分野におけるオープンソースの最適な選択肢は、「OpenVPN」である。この製品は、SSLベースのVPNツールであり、ブロードバンド接続したリモートサイトを、中央のデータセンターに簡単かつ迅速にリンクすることができる。効率的で高性能なIPSecプロトコルをベースとする市販のVPN製品と比較しても技術的には優位にあるというのが、もっぱらの評価である。

 コスト面で考えると、OpenVPNはさらに魅力的だ。リモート・サーバ上でWindows、UNIXの各バージョン、あるいはMac OS Xが稼働していれば、サーバをVPNゲートウェイにすることで、リモート・サイトをOpenVPNで安全に接続することができる。このように、 OpenVPNはリモートサイトに設置されたサーバを活用できるため、新しいハードウェアを必要とせず、既存のネットワークに簡単かつ安価に組み込むことができるのである。

 ただし、OpenVPNですべての問題が解決できるわけではない。高速接続の場合は、やはりIPSecがベターであり、また、1台のサーバでVPNトラフィックを処理しようというアイデアは、どんな環境でも有効であるとはかぎらない。さらに、OpenVPNは高度な管理システムを有していないため、大規模なメッシュ型VPNには適さない。

 他の多くのオープンソース・ツールと同じく、OpenVPNの管理インタフェースはコマンドラインである。しかしながら、製品としての人気や厳密に定義されたAPIのおかげで、コンフィギュレーションやシステム・モニタリングを支援するさまざまなGUIベースのツールがオープンソースで提供されているため、手軽にGUIで管理することも可能である。

市民権を得た“オープンソース・セキュリティ”

 セキュリティの世界では、すでにオープンソース・コードをベースにしたコンポーネントが数多く提供されている。以下、その普及状況を見てみよう。

 オープンソース・セキュリティは、ネットワーク・エグゼクティブが知らない間に、データセンターの奥へ奥へと深く侵入しつつある。その代表が、一連のツールとユーティリティを組み合わせてSSL暗号標準のオープンソース・ライブラリを実装した「OpenSSL」だ。

 Webベースの管理機能やクライアント/サーバ制御チャネルなどの機能にSSLを利用する市販製品は、ほとんどOpenSSLを利用している。この先さらに高性能化したり、あるいはバグフリーになったりするとは言い切れないが、市販製品の開発者たちは、この再利用可能なオープンソース・コンポーネントに今後ますます強く引き寄せられていくことになろう。

 セキュリティの世界においては、オープンソースは完成されたスタンドアロンの製品としてではなく、むしろコンポーネントのレベルで成功を収めてきた。徹底的にテストされたオープンソースのセキュリティ・コンポーネントが、新興ベンダー各社のセキュリティ製品に組み込まれてユーザーのもとへと入り込んできているわけだ。

 ネットワーク脆弱性スキャナの「Nmap」や「Nessus」、侵入検知システム(IDS)の「Snort」、ファイアウォールの「iptable」などは、最新のセキュリティ製品に巧妙に隠されたり、あるいは公然と組み込まれたりしてユーザーに提供されている。

 また、いくつかのオープンソース・セキュリティ製品は、それぞれの開発チームの手によって商用化されている。ソースファイアのSnort、テナブルのNessusなどが、その代表的存在だ。



(Computerworld.jp)

提供:Computerworld.jp