セキュリティツールのアプローチを決定する際、2つの選択肢があるように思われます。
1. 左の腎臓を売って、F1カーの側面に名前が載っているようなエンタープライズソリューションを購入する。
2. 無料のオープンソースツールを選ぶ。それは、寂しい金曜の夜の出会い系アプリよりも多くの誤検知をスワイプするようなものです。
セキュリティにおけるあらゆることと同様に、現実にはさらに掘り下げるべき点があります。この記事では、オープンソースのセキュリティツールをいつ使用すべきか、商用ツールがより効果的なのはいつか、そしてオープンソースを核として構築されたツールを信頼できるのかについて探求したいと思います。
自社開発 vs 外部購入(オープンソースのコストトラップ)
会社が成長するにつれて、オープンソースと商用製品の選択は、ツールを構築するかツールを購入するかの選択であることにすぐに気づくでしょう。オープンソースは優れた出発点となりますが、ダッシュボード、統合、コンプライアンスレポート、修復ワークフロー、誤検知フィルタリング、脆弱性優先順位付けなど、必要な機能の多くが不足しています。そのため、オープンソースが無料であるという考えは単純に真実ではありません。しかし、これは利点にもなり得ます。構築を進めることで初期投資を分散させ、自社にとって重要な機能に集中できます。これにより、ベンダーが2年前の第3四半期に提供すると「約束」した機能の提供をベンダーに依存する必要がなくなります。
オープンソースツールの上に構築する際には、考慮すべき多くのデメリットがあります。 まず、これらのツールを構築するには多大な開発時間が必要となるだけでなく、継続的なメンテナンスも必要です。例えば、セキュリティツールはCI/CDパイプラインのような要素に統合されると、本番環境をブロックする可能性があります。これは、ツールが故障またはクラッシュした場合、生産性の損失を引き起こし、オンラインに戻すためのサポートがないことを意味します。
では、購入オプションについてはどうでしょうか?まず、立ち上げ期間は不要で、最初から完全なカバレッジが得られ、結果として後々のセキュリティ負債が減少します。また、エンジニアリングチームを主要な目標から外し、社内ツールの機能開発に集中させることによる機会損失もありません。ペースの速いスタートアップの世界では、この価値を過小評価してはなりません。
オープンソース vs 商用
商用ツールは脆弱性の発見において優れていますか?
ここまで、おそらく最も重要な質問の一つをすることなく、ツールのすべての機能について話してきました。より多くの脆弱性を見つけるのはどちらか?一般的に、オープンソースツールの核となる機能は、脆弱性を見つける能力において商用ツールと遜色ないことが多いです。しかし、商用ツールが優位に立つのは、誤検知をフィルタリングし、発見された脆弱性の優先順位を付ける能力です。
多くの場合、オープンソースプロジェクトを基盤とした商用ツールです。例えば、ランタイムでの脅威を阻止するように設計されたフル機能のインアプリファイアウォールであるZen by Aikidoを考えてみましょう。では、オープンソースの同等品よりもランタイムの脅威を検出して阻止するのに優れているかというと、そうではありません。なぜなら、それはオープンソースプロジェクトであるAikidoZenを基盤としているからです。エンタープライズ版の価値は、分析、ルール作成、貴社固有の脅威のより深い理解、デプロイの容易さといった追加機能にあります。これらは、オープンソース版を企業で使用する場合に自分で構築する必要があるものです。したがって、オープンソースが必ずしも劣っているわけではなく、次の段階のトリアージが欠けているだけです。
注:発見された脆弱性に対してツールをベンチマークすることも非常に難しい場合があります。優れたセキュリティツールは、コンテキストに基づいて誤検知を除去する能力が高いため、見つける脆弱性の数が少ない場合があります。したがって、より優れたツールが常に最も多くの脆弱性を見つけるとは限らず、むしろその逆であることが多いです。
エンタープライズ向けに構築されたオープンソースを基盤としています。
オープンソースは開発に手間がかかりすぎ、商用製品は高価すぎると感じるかもしれません。その中間はどうでしょうか?オープンソースを核とするフル機能のツールは、新しい概念ではありません。世界で最も成功しているセキュリティ製品の中には、Hashicorp Vault、Elastic Security、Metaploitなど、オープンソースを核として利用しているものがいくつかあります。これらのツールがこれほど成功している理由は数多くありますが、おそらく皆さんが考えている理由とは異なるでしょう。
コスト効率
オープンソースを基盤とするツールは、代替の商用ツールと競合するだけでなく、そのオープンソース基盤とも競合しなければなりません。これは、その価値が証明され、透明性があることを意味し、多くの場合、より費用対効果の高い製品提供につながります。
コミュニティの力
オープンソースツールは、Aikido Zenのように商用企業によって維持・構築されていることがよくあります。オープンソースに基づいたツールは、開発時間を短縮するためだけでなく、創設者がオープンソースの力に根本的に信頼を置いているためでもあります。オープンソースツールは、コミュニティが背後にあるため、機能構築が速いことが多く、特定のニッチな問題がある場合、自分でそのツールに導入できることも意味します。
透明性
商用ツールを購入することは、エンジンの見えない車を買うようなものです。長期的に見て、どれほど優れていて信頼できるのでしょうか?エンジンを覗き込めない場合、弱点を隠すのは容易です。オープンソースのツールはエンジンを隠すことができないため、ツール自体に自信を持ちやすくなります。
商用機能
前述の通り、オープンソースを基盤とするツールは、商用ツールとオープンソースツールの両方と競合することが多いため、その追加機能に自信を持つ必要があります。これは、商用ツールに期待されるすべての機能に加え、さらに多くの機能を提供することを意味します。製品が明確に定義されたオープンソースベースの恩恵を受けることで、最終的にエンドユーザーに還元される改善に注力することができます。
何を選ぶべきか(最終的な考察)
オープンソース、商用、そしてオープンソースを基盤とするセキュリティツールの利点について議論してきました。著者として私がオープンソースコミュニティを愛し、オープンソースを基盤とするツールが機能面で妥協することなく価格面で妥協点を提供すると信じていることは、私のトーンから明らかだと思います。純粋な商用版がより優れているシナリオが全くないと言うのは、もちろん愚かなことです。完全にクローズドソースでありながら、優れた革新的なソリューションも存在します。しかし、私の最終的な主張は、何かがオープンソースプロジェクトに基づいているからといって、能力や機能が劣るわけではないということです。そして、その価値を完全に透明な形で証明する必要があるため、より深い機能と価値を提供することがよくあります。
Aikido Securityは、開発者によって開発者のために、セキュリティを効率的に実現するために作られました。当社はオープンソースの伝統を誇りに思っており、ぜひご自身でその動作をご確認いただきたいと考えております。
