用語集:サイバーセキュリティに関する用語と定義

オープン ソース ソフトウェア(OSS)とは何か

オープン ソース ソフトウェア(OSS)とは、ソフトウェアのソース コードの共有とコラボレーションを促進するソフトウェア開発モデルです。このモデルでは、ソース コードが一般に無料で公開されており、誰でも表示、変更、配布することができます。OSSは通常、開発者コミュニティが共同で開発し、改善と強化も共同で行っています。

核となるオープン ソースの概念は、透明性、コミュニティ主導の開発、イノベーションを奨励しています。単一の事業体が所有して管理するプロプライエタリ ソフトウェアとは異なり、OSSでは、必要に応じてユーザーがソフトウェアにアクセス、変更、配布することができます。このアプローチから、さまざまな分野にわたるオープン ソース プロジェクトの広大なエコシステムが生み出されています。

OSSのメリット

OSSには数多くのメリットがあり、それがさまざまな業界で広く採用され、人気を博している要因となっています。これらのメリットを理解することで、個人や組織がプロジェクトでOSSの利用を検討する際に、十分な情報に基づいた決断を下すことができます。

オープン ソースの力を活用することで、個人や組織は、ソフトウェアの豊富なエコシステムがもたらすメリットを活かし、グローバルなオープン ソース コミュニティの集合知やイノベーションに貢献することができます。

コスト効率

OSSの最も重要なメリットの1つが、コスト効率です。通常は無料で利用できるため、ライセンス料が不要になります。この利用しやすさにより、組織はリソースをより効率的に割り当て、節約したコストを他の事業分野に投資することができます。

透明性と監査能力

OSSは、ソース コードを公開して検査可能にすることで透明性を確保しています。この透明性により、ユーザーは、ソフトウェアの機能を理解し、そのセキュリティと整合性を検証することができます。組織は、コード監査を実施し、脆弱性を特定して対処し、ソフトウェアが特定の要件に適合をしていることを確認できます。また、この開示性が多様な貢献活動を促し、イノベーションと知識の共有を推し進めています。

セキュリティ

前述の透明性と検査への開示性は、セキュリティの強化にもつながっています。開発者はソース コードにアクセスし、脆弱性を精査して、製品をより堅牢にすることができます。さらに、オープン ソース プロジェクトのコミュニティは本質的に大規模になるため、バグの特定とパッチの適用が速やかに行われます。コミュニティが定期的に更新プログラムを提供するので、新たな脅威に迅速に対処することもできます。

柔軟性とカスタマイズ

OSSには、プロプライエタリ ソフトウェアにないことが多い、柔軟性とカスタマイズのためのオプションが揃っています。ユーザーは、独自のニーズに合わせてソース コードを自由に変更し、適応させることができるため、より柔軟に特定の機能を実装したり、特定の要件に対応したりすることができます。このレベルでカスタマイズできることから、組織はソフトウェアをワークフローに合わせて調整し、効率と生産性を最大限に高めることができます。

迅速なイノベーションとコラボレーション

オープン ソース プロジェクトは、イノベーションと知識の共有を促進するコラボレーション環境を育みます。開発者と有志で構成されたグローバルなコミュニティでは、それぞれが自由に専門知識やアイデアを出し合い、ソフトウェアの拡張機能を提供できます。この協力的なアプローチが、迅速なイノベーションや更新プログラムの頻繁な提供につながり、ソフトウェアの特性、機能性、パフォーマンスの継続的な改善を可能にしています。

幅広いサポートとナレッジ ベース

OSSの多くは、ユーザーと開発者の大規模で多様なコミュニティの恩恵を受けています。この広範なサポート ネットワークでは、フォーラム、メーリング リスト、オンライン コミュニティ、支援とガイダンスを提供するドキュメントにアクセスできます。ユーザーはコミュニティの集合知と経験の恩恵を享受でき、問題のトラブルシューティングが容易になり、簡単に解決策を見つけたり、他のユーザーから学んだりすることができます。

ベンダーからの独立性

OSSは、特定のベンダーやプロバイダへの依存度を引き下げます。サポートやメンテナンスのために、組織が単一のソフトウェア ベンダーに束縛されることはありません。ユーザーは、複数のサービス プロバイダ、コンサルタント、社内リソースから、サポートとカスタマイズのニーズを満たすものを自由に選択できます。この独立性が、ソフトウェア ソリューションを管理する際の柔軟性を高め、ベンダー ロックインのリスクを軽減します。

広範なエコシステムと統合の可能性

OSSの多くには、機能と統合性を強化する補完的なツール、ライブラリ、拡張機能から成る、活気に満ちたエコシステムがあります。このエコシステムにより、他のオープン ソース ソリューションやプロプライエタリ ソリューションとのシームレスな統合が可能となり、ソフトウェアの機能を拡張したり、ワークフローを最適化したりするための幅広いオプションも備えています。

長期的な存続可能性と継続性

OSSのプロジェクトは、長期的な存続可能性と継続性がより高まる傾向があります。オープン ソース開発が共同作業で行われるというその性質から、単一障害点のリスクが軽減されます。特定のプロジェクトの活動が停止または中止されてもソース コードは利用できるため、コミュニティや他のステークホルダーがプロジェクトをフォークして、独立して開発を継続し、ソフトウェアの寿命を延ばすことができます。

OSSの使用に関する政府指令

こうしたOSSのメリットが大きなものであるため、多くの政府が、組織内でOSSの利用を推進するための指針や指令を規定しています。政府による注目すべき実例をいくつかご紹介します。

  • 米国:2016年に発行されたFederal Source Code Policyは、連邦政府機関に対し、新たに開発されたカスタム コードの少なくとも20%をオープン ソースとして公開することを義務付けています。さらに、国防総省(DoD)は、OSSの利用を奨励し、オープン ソース コミュニティの一助となるDoD Open Source Software Policyを公開しています。
  • 英国:英国政府は、Digital Service Standardの一環としてOSSを採用しています。Government Service Design Manualでは、相互運用性、透明性、コスト効率を高めるために、オープン スタンダードとオープン ソース ソリューションの利用を奨励しています。Government Digital Service(GDS)などのいくつかの政府機関は、オープン ソース プロジェクトに積極的に貢献し、そのコードを一般に公開して共有しています。
  • フランス:フランス政府は、公的調達プロセスにおいてOSSを優先的に考慮することを推奨するガイドラインを公開しました。2012年に発行されたAyrault Circularでは、相互運用性、競争力、コスト最適化を確保する上でのオープン スタンダードとオープン ソース ソリューションの重要性が強調されています。
  • ドイツ:Digital Agenda 2014~2017には、公的調達においてオープン ソース ソリューションを優先することが盛り込まれています。ドイツ、ミュンヘン市は、ITインフラストラクチャをOSSに移行することを目的とした「LiMux」プロジェクトで世界的な注目を集めました。近年、いくつかの変化がありましたが、オープン ソースは今もドイツのさまざまな政府機関においてIT戦略の一端を担っています。
  • ブラジル:2003年、ブラジルは行政におけるOSSの利用を促進するSoftware Livre Brasilという取り組みを開始しました。2018年にブラジル連邦政府が発表した、フリー ソフトウェアの採用と利用に関する枠組みでは、セキュリティ、コスト削減、技術主権を確かなものとするため、各政府機関に向けて、オープン ソース ソリューションを優先することが推奨されています。
  • インド:Policy on Adoption of Open Source Software for Government of Indiaは、2015年に公開され、各政府機関に対して、オープン ソース ソリューションを優先的選択肢として検討することを推奨しています。この指針では、コスト削減、現地におけるイノベーションの促進、ベンダー ロックインの回避の必要性が強調されています。
OSSのリスク

OSSの利用にはいくつものリスクが伴うことを認識しておく必要があります。これらのリスクを把握しておくことで、個人や組織がプロジェクトでOSSを利用する際に十分な情報に基づいて決断を下すことができます。適切な理解、計画、リスク管理戦略があれば、OSSの力を活用しながら、潜在的な課題を軽減することができます。

セキュリティ脆弱性

OSS本来の開示性により、ピア レビューを通じてセキュリティが強化される一方で、ソース コードが攻撃者の目にも晒されることになります。セキュリティ脆弱性が発見され、すぐに対処されない場合、ソフトウェアとそのユーザーに危険が及ぶ可能性があります。オープン ソース プロジェクトでは、脆弱性管理、コード監査、タイムリーなセキュリティ更新など、積極的なセキュリティ対策を講じることが不可欠です。

サポートとドキュメントの不足

オープン ソース プロジェクトのサポートとドキュメントのレベルはさまざまです。その多くに専用のサポート チームがあるプロプライエタリ ソフトウェアとは異なり、オープン ソース プロジェクトは、コミュニティ主導のサポート チャネルに一部または全面的に依存していることがあります。プロジェクトの人気やコミュニティの取り組みによっては、タイムリーなサポートや問題のトラブルシューティングに関する包括的なドキュメントを見つけることが難しい場合もあります。

統制とカスタマイズの限界

OSSでは、コードを自由に変更したりカスタマイズしたりできますが、一方でこれは、特定の要件を満たすためにソフトウェアのメンテナンスや強化を行う責任がユーザーにあることを意味します。これには、技術的な専門知識やリソースに加え、ソフトウェア エコシステムで今後行われる更新や変更との互換性を確保する継続的な取り組みも必要になります。

互換性と統合に伴う課題

OSSでは、他のプロプライエタリ ソフトウェアや非標準ソフトウェアとの互換性や統合に関して、課題に直面する可能性があります。相互運用性を確保する取り組みを行いながら、異なるソフトウェア コンポーネントを統合する際に生じる潜在的な複雑さを考慮しなければなりません。これらのリスクを軽減するには、徹底したテストと依存関係の理解が必要になります。

品質管理とメンテナンス

オープン ソース プロジェクト本来の分散性により、品質管理とメンテナンスの一貫性が損なわれる場合があります。すべてのオープン ソース プロジェクトに厳格なテスト、品質保証プロセス、専任のメンテナンス チームがあるとは限りません。OSSを利用するユーザーが、プロジェクトの成熟度、コミュニティ活動、継続的なメンテナンスの取り組みを評価して、その安定性と長期的な存続可能性を判断しなければなりません。

法律とライセンスに関する考慮事項

OSSの多くは、ユーザーと開発者の権利と責任を定義する特定のライセンスによって管理されています。GNU一般公有使用許諾(GPL)などの一部のライセンスでは、変更や派生物の共有など、特定の義務が課せられています。ライセンス条項に従わない場合、法的措置が取られる可能性があります。組織は、利用するOSSのライセンス要件を理解し、該当するライセンスの遵守を徹底することが重要です。

プロジェクトの中止

オープン ソース プロジェクトは、開発者やコミュニティ メンバーの自発的な貢献に依存しています。場合によっては、リソース不足、優先順位の変化などの要因により、プロジェクトの活動が停止または中止されることがあります。こうしたプロジェクトに大きく依存しているユーザーは、継続的なサポートや更新プログラムを入手するのが難しくなり、それが自身のプロジェクトの安定性と長期的な存続可能性に影響を及ぼしかねません。

OSSの安全性を高めるには

OSSの安全性を確保するには、潜在的な脆弱性を軽減し、ソフトウェア全体のセキュリティを強化するためのさまざまな慣行や戦略を採り入れる必要があります。セキュリティ重視の考え方を育み、プロアクティブなアプローチを維持し、オープン ソース コミュニティと協力し、ソフトウェアのセキュリティを継続的に改善してユーザーの利益を守ることが重要です。

ここでは、考慮すべきいくつかの重要な慣行と戦略をご紹介します。

  • ソフトウェア部品表(SBOM):SBOMを作成します。これは、ソフトウェア プロジェクトで使用されるコンポーネントや依存関係を詳細に記録したドキュメントです。SBOMには、ソフトウェア内で使用されるすべてのソフトウェア コンポーネント、ライブラリ、フレームワークと、それぞれのバージョンをリストします。OSSにおけるSBOMは、透明性、セキュリティ、コンプライアンスを確保する上で重要な役割を果たします。
  • 積極的なセキュリティ慣行:ソフトウェア開発ライフサイクル全体にわたって、プロアクティブなセキュリティ慣行を実施します。これには、定期的なセキュリティ監査、コード レビュー、侵入テストを実施し、潜在的な脆弱性を特定して対処することが含まれます。専任のセキュリティ チームを設置するか、外部のセキュリティ専門家に依頼することで、セキュリティ リスクの特定と軽減における専門知識を確保します。
  • セキュリティ パッチの迅速な適用:セキュリティ脆弱性を常に警戒し、パッチと更新プログラムを速やかに適用します。オープン ソース コミュニティやプロジェクト メンテナが提供するセキュリティのアドバイスや通知を注視します。セキュリティ パッチをタイムリーに適用すれば、ソフトウェアを既知の脆弱性やエクスプロイトから守ることができます。
  • 安全なコーディング標準:OSSを開発したり、貢献したりする際は、安全なコーディング手法を遵守します。一般的なコーディング ミスや脆弱性を最小限に抑えるため、所定の安全なコーディング標準とガイドラインに従います。これには、入力検証、適切なエラー処理、安全な認証・認可メカニズム、安全なデータ保存手順などが含まれます。
  • 責任ある開示:セキュリティ脆弱性を責任をもって開示するための明確なチャネルを確立します。ユーザーとセキュリティ研究者に、責任ある協力的な姿勢でプロジェクト メンテナに脆弱性を報告することを奨励します。ユーザーを守るために、脆弱性の報告に迅速に対応し、その影響を評価して、タイムリーに修正プログラムや緩和策を提供します。
  • セキュリティ テストと監査:ソフトウェアの包括的なセキュリティ テストと監査を実施します。これには、定期的な脆弱性スキャン、侵入テスト、セキュリティ重視のコード レビューなどが含まれます。セキュリティ テストの自動化ツールを使用して、SQLインジェクション、クロスサイト スクリプティング(XSS)、安全でない直接オブジェクト参照などの一般的な脆弱性を特定します。定期的にセキュリティ監査を行うことで、潜在的なセキュリティ上の弱点を特定し、対処することができます。
  • 依存関係とライブラリの保護:OSSの多くは、サードパーティのライブラリと依存関係を利用しています。これらの依存関係を最新の状態に維持し、既知のセキュリティ脆弱性を排除する必要があります。古い依存関係や脆弱な依存関係はセキュリティ リスクをもたらすため、ソフトウェアで使用する依存関係のバージョンを定期的に監視し、更新します。
  • 安全な構成と導入:構成と導入の安全な慣行に従うよう留意します。サーバの強化、安全なネットワークの構成、機密データの暗号化に関する業界のベスト プラクティスに従います。導入の安全な慣行を自動化するツールやフレームワークを活用して、ヒューマン エラーを最小限に抑え、構成ミスのリスクを軽減します。
  • セキュリティ教育と意識向上:OSSの開発者、有志、ユーザー間でセキュリティ教育と意識向上を促進します。安全なコーディング手法、安全な構成、一般的なセキュリティ上の潜在的リスクについてのトレーニングやリソースを提供します。オープン ソース コミュニティ内でセキュリティ意識の高い文化を育み、あらゆるレベルでセキュリティを優先させます。
  • コミュニティへの参加:該当するソフトウェアに関連するオープン ソース コミュニティに参加します。ディスカッション、メーリング リスト、フォーラムなどに参加して、セキュリティ関連のトピックや、ベスト プラクティス、新たな脅威に関する最新情報を入手します。他のコミュニティ メンバーと協力して知識を共有し、セキュリティ上の懸念に対処し、ソフトウェアのセキュリティ向上に共同で取り組みます。
  • 定期的なセキュリティ評価:ソフトウェアのセキュリティ評価と監査を定期的に実施します。サードパーティのセキュリティ会社に依頼して、包括的なセキュリティ評価と侵入テストを実施することもできます。定期的に評価することで、新たな脆弱性や脅威を特定し、ソフトウェアのセキュリティ対策が堅牢かどうかを確認することもできます。
OSSのサポート契約のメリット

OSSの場合、サポート契約は、有志と組織の間で締結される正式な契約であり、技術サポートやバグ修正などの支援とメンテナンスの諸条件が規定されています。OSSのサポート契約を締結することで、オープン ソース ソリューションを利用する組織にとって非常に重要なメリットがいくつか得られます。これらのメリットにより、組織は、効果的に自信をもってOSSを利用し、リスクを軽減して、テクノロジーへの投資から得られる価値を最大限に高めることができます。

専門家による支援

サポート契約により、対象のOSSを専門とする専門家チームの支援を受けることができます。こうした専門家は、ソフトウェアのアーキテクチャ、機能、ベスト プラクティスについて深い知識を持っています。組織が技術的な問題や課題に直面した場合は、この専門知識に基づいた迅速かつ信頼性の高いサポートを受けることができます。サポート契約には、メール、電話、チケット システムなど、専用のサポート チャネルが組み込まれることが多く、迅速な対応と問題の解決が保証されます。

タイムリーなバグ修正プログラムと更新プログラム

OSSは、継続的に開発と改善が行われています。サポート契約を締結した組織は、ソフトウェアのバグ修正プログラム、パッチ、更新プログラムをタイムリーに受け取ることができます。そのため、重大な問題が迅速に解決され、運用への悪影響を最小限に抑えることができます。最新バージョンや更新プログラムを入手することで、組織は、新機能、性能強化、セキュリティ向上のメリットを享受することができます。

セキュリティと脆弱性管理

セキュリティは、あらゆるソフトウェアを利用する組織にとって重要な懸案事項です。サポート契約を締結した組織は、重要なセキュリティ更新プログラムと脆弱性管理機能にアクセスできます。サポート チームがセキュリティ上の脅威を監視し、特定された脆弱性に迅速に対処するためのパッチや更新プログラムをリリースします。このプロアクティブなアプローチにより、セキュリティ上のリスクが緩和され、ソフトウェアのより安全な環境を確保できます。

トラブルシューティングと問題解決

サポート契約により、トラブルシューティングと問題解決のための確実なメカニズムが提供されます。組織は、問題の根本原因を特定して、問題を診断し、適切な解決策を見つけるための支援を求めることができます。サポート チームは、解決プロセスを通じて組織を導き、障害を克服するための専門知識と提案を提供します。

サービス レベル アグリーメント(SLA)

サポート契約の多くに、応答時間、解決時間、その他のパフォーマンス指標を定義するサービス レベル アグリーメント(SLA)が組み込まれています。これらのSLAには明確な期待事項が設定されており、サポート チームが指定された期間内に高品質のサービス提供に尽力することが保証されています。SLAは、組織が迅速な支援を受け、事業の中断を最小限に抑えるための一定の保証と説明責任を規定するものです。

コンプライアンスと法的保証

OSSには、特定のライセンス要件と義務が設けられていることがあります。サポート契約によって組織は、ライセンス条項の遵守を確認し、使用制限を理解して、ソフトウェアの法的考慮事項に関するガイダンスを受けることができます。これは、意図しないコンプライアンス違反や潜在的な法的問題のリスクを軽減するのに役立ちます。

安心感とリスクの軽減

サポート契約を締結することで、安心してOSSを利用することができます。電話やメールで専門家のサポートを受けられることがわかっていれば、不安が軽くなり、核となる事業の運営に集中できます。サポート契約により、最も必要なときに信頼できるサポートを受けられるため、ダウンタイムの長期化、データの損失、事業の中断といったリスクが軽減されます。

知識の伝達とトレーニング

サポート契約に、知識の伝達とトレーニングに関する内容が組み込まれている場合もあれば、これらが、ベンダーとの専門サービス契約で行われる場合もあります。これらのチームが、組織がOSSを効果的に使用して管理するのに役立つ、ガイダンス、ドキュメント、トレーニング リソースを提供することもあります。これにより組織は、ソフトウェアの潜在能力を最大限に引き出し、社内の能力を高め、日常業務や軽微な問題で外部のサポートを利用する機会を減らすことができます。

概要

OSSは、ソース コードを共有して自由に配布することで透明性、柔軟性、イノベーションを促進する共同開発モデルです。コスト効率、カスタマイズ オプション、幅広いサポート ネットワークを備えており、さまざまな業界で普及しています。ただし、セキュリティ脆弱性、互換性の問題、プロジェクトの中止など、OSSはいくつかのリスクを伴います。これらのリスクを軽減するには、プロアクティブなセキュリティ慣行、オープン ソース コミュニティへの参加、サポート契約の締結など、いくつかの解決策が有効です。サポート契約を締結することで、専門家による支援、バグ修正、セキュリティ管理、トラブルシューティング、コンプライアンス保証を通じて、OSSのリスクを軽減することができます。

NGINX Plusがお手伝いできること

NGINXでは、オープン ソースを利用し始める方や、引き続き利用したいとお考えの方に向けて、以下のリソースをご用意しています。