セキュリティ・ツールにどのようなアプローチを使うかを決めるとき、2つの選択肢があるように思える。
1.左の腎臓を売って 、F1マシンの側面に名前がある企業ソリューションを買う。
2.金曜日の夜、出会い系アプリよりも多くの偽陽性を右スワイプする無料のオープンソースツールを選ぶ。
セキュリティにおけるあらゆることがそうであるように、現実にはもっと解き明かすべきことがある。この記事では、どのような場合にオープンソースのセキュリティ・ツールを使うべきか、どのような場合に商用ツールの方が効果的なのか、そしてオープンソースのコアから構築されたツールを信頼できるのかを探ってみたい。
ビルドとバイ(オープンソースのコストの罠)
会社を成長させるにつれ、オープンソースと商用ソフトウェアの選択は、ツールを 構築するか 購入するかという選択であることにすぐに気づくでしょう。オープンソースは優れた出発点を提供しますが、必要な機能の多くが欠けています。ダッシュボード、統合機能、コンプライアンス報告、修復ワークフロー、誤検知フィルタリング、脆弱性 などが挙げられます。したがって「オープンソースは無料」という考え方は単純に誤りです。ただしこれは利点にもなり得ます。必要に応じて構築していくことで初期投資を分散でき、自社が重要視する機能に集中できるからです。つまり、ベンダーが「2年前の第3四半期に提供すると約束した」機能を待たずに済むのです。
オープンソースツールを基盤に構築する際には、考慮すべき多くの欠点があります。まず、これらのツールを構築するには多大な開発時間を要するだけでなく、継続的なメンテナンスも必要となります。また、セキュリティツールは、CI/CD 要素に統合された場合、本番環境を停止させる可能性があります。つまり、ツールが故障やクラッシュを起こした場合、復旧を支援するサポートがなく、生産性の低下を招く恐れがあるのです。
では、購入オプションはどうだろうか?まず、立ち上げ期間がなく、最初から完全なカバレッジが得られるので、後々のセキュリティ負債が少なくなります。また、社内ツールの機能構築に集中するために、エンジニアリング・チームを中核的な目標から外すという機会損失も生じない。ペースの速いスタートアップの世界では、この価値を過小評価してはならない。
オープンソース vs 商用
商用ツールは脆弱性 において優れているのか?
ここまでのところ、おそらく最も重要な質問のひとつもしないまま、ツールのすべての機能について話してきた。何がより多くの脆弱性を見つけるのか? 一般的に言って、オープンソース・ツールの中核機能は、脆弱性を見つける能力において、商用ツールに匹敵することが多い。しかし、商用ツールが勝るのは、偽陽性をフィルタリングし、発見した内容に優先順位をつける能力である。
商用ツールはオープンソースプロジェクトを基盤として構築されることが非常に多い。例えば、 AikidoZen 例に挙げよう。これは実行時に脅威を阻止するよう設計された、フル機能のアプリ内ファイアウォールだ。では、実行時脅威の検出と阻止においてオープンソース版より優れているか? そうではない。というのも、これはオープンソースプロジェクトであるAikidoZenを基盤としているからだ。 エンタープライズ版の価値は、分析機能やルール作成機能、自社の特定 脅威に対する深い理解、導入の容易さといった追加機能にあります。これらはオープンソース版を企業環境で利用する場合、自社で構築する必要がある要素です。つまりオープンソースが劣っているわけではなく、次の段階のトリアージ機能が不足しているだけなのです。
注:発見された脆弱性に対するツールのベンチマークも非常に厄介な場合がある。優れたセキュリティ・ツールは、文脈に基づいて誤検知を取り除くのに長けているため、発見する脆弱性が少ないかもしれません。そのため、優れたツールが常に最も多くの脆弱性を発見するとは限りません。
企業向けに構築されたオープンソースを採用
オープンソースは開発しすぎで、コマーシャルは高すぎる。オープンソースをコアにしたフル機能のツールは新しいコンセプトではない。世界で最も成功しているセキュリティ製品の中には、Hashicorp Vault、Elastic Security、Metaploitなど、オープンソースをコアに使っているものがある。これらのツールがうまくいっている理由はたくさんあるが、おそらくあなたが考えているような理由ではないだろう。
費用対効果
オープンソースを利用したツールは、代替の商用ツールと競争する必要があるだけでなく、そのオープンソースベースとも競争しなければならない。つまり、その価値は証明され、透明でなければならない。
コミュニティの力
オープンソースツールは、多くの場合、商業企業によって維持・構築されています。例えば Aikido Zenといった企業です。オープンソースを基盤とするツールは、開発時間の短縮だけでなく、創設者がオープンソースの力を根本的に信じているからこそ実現しています。オープンソースツールはコミュニティの支援があるため機能開発が迅速に進む傾向があり、また特定のニッチな問題を抱えている場合、自らその解決策をツールに導入できるという利点もあります。
透明性
市販の工具を買うのは、エンジンを見ずに車を買うようなものだ。長期的に見て、どの程度の性能と信頼性があるのだろうか?誰かがエンジンを覗き見ることができなければ、弱点を隠すのは簡単だ。オープンソースのツールはエンジンを隠すことができないので、ツール自体に自信を持ちやすい。
商業的特徴
前述したように、オープンソースのツールは、しばしば商用ツールやオープンソースツールの両方と競合するため、その追加機能の背後に堂々と立つ必要があります。これは、あなたが商用ツールから期待するすべてのものを意味しますが、多くの場合、かなり多くを意味します。製品は十分に定義されたオープンソースベースの恩恵を受けているため、最終的にエンドユーザーに還元される改良に注意を払うことができる。
では、私は何を選ぶのか(最終的な考え)
これまで、オープンソース、商用、オープンソースを利用したセキュリティツールの利点について議論してきました。私の口調から明らかなように、筆者としてオープンソースコミュニティが大好きであり、オープンソースで動くツールは機能に妥協することなく価格に妥協していると信じている。もちろん、純粋な商用版の方が優れているシナリオがあるにもかかわらず、その理由がないと言うのは馬鹿げている。世の中には、完全にクローズドソースの素晴らしい革新的なソリューションもある。しかし、私が最終的に言いたいのは、何かがオープンソースプロジェクトに基づいているからといって、能力や機能が妥協されるわけではないということだ。また、完全な透明性の中でその価値を証明する必要があるため、より深い機能や価値を提供することが多い。
Aikido セキュリティは開発者によって開発者のために作られ、セキュリティ対策を支援します。私たちはオープンソースの伝統を誇りに思っており、ぜひ実際に動作する様子をご覧いただきたいと考えています。
今すぐソフトウェアを保護しましょう
