セキュリティ・ツールにどのようなアプローチを使うかを決めるとき、2つの選択肢があるように思える。
1.左の腎臓を売って 、F1マシンの側面に名前がある企業ソリューションを買う。
2.金曜日の夜、出会い系アプリよりも多くの偽陽性を右スワイプする無料のオープンソースツールを選ぶ。
セキュリティにおけるあらゆることがそうであるように、現実にはもっと解き明かすべきことがある。この記事では、どのような場合にオープンソースのセキュリティ・ツールを使うべきか、どのような場合に商用ツールの方が効果的なのか、そしてオープンソースのコアから構築されたツールを信頼できるのかを探ってみたい。
ビルドとバイ(オープンソースのコストの罠)
会社を成長させるにつれ、オープンソースか商用かの選択は、ツールを構築するか購入するかの選択であることにすぐに気づくだろう。オープンソースは素晴らしい出発点を提供してくれるが、ダッシュボード、統合、コンプライアンス・レポート、修復ワークフロー、誤検出フィルタリング、脆弱性の優先順位付けなど、必要な機能の多くが欠けている。つまり、オープンソースは無料であるという考えは単純に正しくないということだ。しかし、これは利点でもある。構築しながら進めることで、初期投資を抑え、自社にとって重要な機能に集中することができる。ベンダーが2年前の第3四半期に "約束した "機能を提供してくれることを当てにしているわけではないということだ。
オープンソースのツールの上に構築する場合、考慮すべきマイナス面がたくさんある。まず、これらのツールを構築するのに多大な開発時間がかかるだけでなく、継続的なメンテナンスも必要になる。セキュリティ・ツールは、例えばCI/CDパイプラインのような要素に統合されている場合、本番稼動を妨げる可能性もある。つまり、故障やクラッシュが発生した場合、オンラインに戻すためのサポートがないため、生産性が低下する可能性があるのだ。
では、購入オプションはどうだろうか?まず、立ち上げ期間がなく、最初から完全なカバレッジが得られるので、後々のセキュリティ負債が少なくなります。また、社内ツールの機能構築に集中するために、エンジニアリング・チームを中核的な目標から外すという機会損失も生じない。ペースの速いスタートアップの世界では、この価値を過小評価してはならない。
オープンソース vs 商用
商用ツールの方が脆弱性発見に優れている?
ここまでのところ、おそらく最も重要な質問のひとつもしないまま、ツールのすべての機能について話してきた。何がより多くの脆弱性を見つけるのか? 一般的に言って、オープンソース・ツールの中核機能は、脆弱性を見つける能力において、商用ツールに匹敵することが多い。しかし、商用ツールが勝るのは、偽陽性をフィルタリングし、発見した内容に優先順位をつける能力である。
オープンソースのプロジェクトに基づいて構築された商用ツールであることが非常に多い。例えば、Zen byAikido、実行時に脅威を阻止するように設計されたフル機能のアプリ内ファイアウォールである。オープンソースのAikidoZenをベースにしているため、オープンソースの同等製品よりもランタイムの脅威を検知して阻止する能力に優れているかというと、そうでもない。エンタープライズ・バージョンの価値は、分析、ルール作成、 特定の脅威に対するより深い理解、導入の容易さといった追加機能にあり、オープンソース・バージョンを企業で使用する場合はすべて自分で構築する必要がある。つまり、オープンソースが必ずしも悪いわけではなく、トリアージの次の段階が欠けているだけなのだ。
注:発見された脆弱性に対するツールのベンチマークも非常に厄介な場合がある。優れたセキュリティ・ツールは、文脈に基づいて誤検知を取り除くのに長けているため、発見する脆弱性が少ないかもしれません。そのため、優れたツールが常に最も多くの脆弱性を発見するとは限りません。
企業向けに構築されたオープンソースを採用
オープンソースは開発しすぎで、コマーシャルは高すぎる。オープンソースをコアにしたフル機能のツールは新しいコンセプトではない。世界で最も成功しているセキュリティ製品の中には、Hashicorp Vault、Elastic Security、Metaploitなど、オープンソースをコアに使っているものがある。これらのツールがうまくいっている理由はたくさんあるが、おそらくあなたが考えているような理由ではないだろう。
費用対効果
オープンソースを利用したツールは、代替の商用ツールと競争する必要があるだけでなく、そのオープンソースベースとも競争しなければならない。つまり、その価値は証明され、透明でなければならない。
コミュニティの力
オープンソースのツールは、Aikido ように営利企業によって保守・構築されていることが多い。オープンソースをベースとするツールは、単に開発時間を短縮するためだけでなく、創業者がオープンソースの力を根本的に信じているからである。オープンソースのツールは、その背後にコミュニティがあるため、機能構築のスピードが速いことが多く、また、特定のニッチな問題がある場合、それを自分自身でツールに導入できることも意味する。
透明性
市販の工具を買うのは、エンジンを見ずに車を買うようなものだ。長期的に見て、どの程度の性能と信頼性があるのだろうか?誰かがエンジンを覗き見ることができなければ、弱点を隠すのは簡単だ。オープンソースのツールはエンジンを隠すことができないので、ツール自体に自信を持ちやすい。
商業的特徴
前述したように、オープンソースのツールは、しばしば商用ツールやオープンソースツールの両方と競合するため、その追加機能の背後に堂々と立つ必要があります。これは、あなたが商用ツールから期待するすべてのものを意味しますが、多くの場合、かなり多くを意味します。製品は十分に定義されたオープンソースベースの恩恵を受けているため、最終的にエンドユーザーに還元される改良に注意を払うことができる。
では、私は何を選ぶのか(最終的な考え)
これまで、オープンソース、商用、オープンソースを利用したセキュリティツールの利点について議論してきました。私の口調から明らかなように、筆者としてオープンソースコミュニティが大好きであり、オープンソースで動くツールは機能に妥協することなく価格に妥協していると信じている。もちろん、純粋な商用版の方が優れているシナリオがあるにもかかわらず、その理由がないと言うのは馬鹿げている。世の中には、完全にクローズドソースの素晴らしい革新的なソリューションもある。しかし、私が最終的に言いたいのは、何かがオープンソースプロジェクトに基づいているからといって、能力や機能が妥協されるわけではないということだ。また、完全な透明性の中でその価値を証明する必要があるため、より深い機能や価値を提供することが多い。
Aikido セキュリティは、開発者が開発者のためにセキュリティを実現するために作成されました。私たちはオープンソースの伝統に誇りを持っています。
.svg)
.jpg)
.jpg)
.jpg)
.jpg)
