オープンソースソフトウェアをご存じない方のために簡単に定義すると、「誰でも閲覧、修正、拡張が可能なソースコードを持つソフトウェア」である。
専門的なソフトウェアエンジニア、開発者、そしてソフトウェア開発や設計に興味のある人なら誰でも、オープンソースのコードにアクセスし、貢献し、それを共有することができるのです。そのため、セキュリティに関して言えば、このレベルのアクセスのしやすさは、一部のユーザーを躊躇させるかもしれません。
オープンソースソフトウェアは、TAOのソリューションスタックの基盤を支えるものです。
オープンソースソフトウェアに関するよくある誤解
オープンソースのテストソフトウェアは、その価値の高さゆえに、多くの人がその使用や信頼から遠ざかっています。特に次の3つはよくあることです。
迷信1:プロプライエタリなソフトウェアの方が優れている
オープンソースソフトウェアは、一般の人が自由に使用、拡張、配布できるのに対し、プロプライエタリ・ソフトウェアは、ロックされたシステムを構築します。作成者が法的な所有者のままであり、そのソフトウェアを変更したり、ユーザーに合わせてカスタマイズすることはできません。しかし、プロプライエタリなテストシステムは、ライセンス料がかかり、データのサイロ化が進み、進化の可能性が制限されるため、高いコストがかかることを意味します。
一方、TAOのようなオープンソースの試験システムは、世界的に評価にシェアリングエコノミーをもたらします。ますます多くのEdTechリーダーが、評価のデジタル化に着手する中で、オープンソースの試験ツールの柔軟性と固有のコスト削減の恩恵を受けています。コミュニティのメンバーは、コラボレーションを行い、リソースやコンテンツを交換し、ソースコードに還元されるイノベーションから利益を得ることができるのです。TAOは、オープンソースと同様にオープンスタンダードに基づいて構築されているため、ユーザーは本質的にすべてのコンテンツを所有することができ、サイロを作成したり、ロックされたシステムに資産を失うリスクはありません。
誤解2:オープンソースはクラウドソーシングと同義である
オープンソース・ソフトウェアは、クラウドソース・ソフトウェアではありません。しかし、人々がこの二つを互換性があると考える理由はわかります。オープンソースのソフトウェアでは、多くの異なる人々が働くことができます。そして、それが本質的にクラウドソースプロジェクトの基本なのです。多くの人々が集まって一つの仕事を完成させるのです。
しかし、オープンソースソフトウェアの代わりに、クラウドソースソフトウェアと言うことはできません。クラウドソースのプロジェクトには多くの人が貢献するかもしれませんが、完成品と権利はプロジェクトを開始した個人またはグループに残ります。一方、オープンソースソフトウェアは、一般の人が作ったものを使用し、修正し、配布することを認めています。
迷信3:オープンだと安全性が低い
そう、誰でもオープンソースのソフトウェアを使うことができるのです。しかし、だからといって安全性の低いソフトウェアという選択肢にはなりません。実際、多くのユーザーは、多くの人が同時に作業しているので、より安全な選択肢だと考えています。つまり、バグやその他の脆弱性を特定し、修正することが容易なのです。
以下、セキュリティについてもう少し掘り下げてみましょう。
オープンソースソフトウェアのセキュリティの内訳
前述したように、オープンソースソフトウェアのアクセシビリティは、しばしば安全ではないという神話を助長しています。しかし、アクセシビリティが高いからといって、セキュリティが低いわけではありません。オープンソースソフトウェアがどのように安全であるかに疑問をお持ちの方は、読み進めてください。
インフラ
インフラストラクチャーとは、ソフトウェアシステムの運用を支える基盤のことである。システム内のデータの流れ方、機能、特徴は、そのフレームワークを構成する物理的・デジタル的な構成要素から生み出されるものである。
オープンソースソフトウェアは、オープンなインフラストラクチャを持っています。多くのユーザーのツールのハードウェア、ソフトウェア、およびネットワークコンポーネントが、オープンソースソフトウェアの基盤となるフレームワークの構築に関与しているのです。
すべての人のツールが同じように作られているわけではないことを考えると、セキュリティの問題は光り輝いて見えます。しかし、多くのオープンソース・ソフトウェア・ソリューションがいかに信頼できる人々や機関に支えられているかを考えてみてください。TAOのクラウドマネージドサービスは、銀行や教育機関など、強固なセキュリティを必要とする業界で実績のあるインフラをベースに運用されています。
また、膨大な数の協力者がいるということは、脆弱性に対する監視の目や解決策が増えるということです。このようなインフラを利用することで、より迅速に問題を特定し、修正することができるため、オープンソースソフトウェアの安全性がより一層高まります。
暗号化
ソフトウェア開発は、非常に細かく、複雑で、時には極秘に行われるプロセスです。多くのデータが使用され、転送されますが、その多くは作成者だけがアクセスできるはずのものです。
しかし、オープンソースソフトウェアのオープンな性質は、一般の人が自由に追加したり変更したりすることを可能にします。つまり、誰もが本質的にすべてを見ることができるのです。とはいえ、ソフトウェア体験を安全に保つために暗号化ソリューションが関わっていないわけではありません。
例えば、オープンソースのソフトウェアでは、暗号の暗号化が標準となっています。しかし、オープンソースのソフトウェアにアクセスできる人なら誰でも暗号化アルゴリズムを知ることができるため、一部の人を困らせています。しかし、ソースコードにアクセスするためには、やはり秘密鍵やパスワードが必要です。秘密鍵やパスワードがなければ、ソースコードを復号化することができないので、不正なアクセスを防ぐことができます。また、暗号化アルゴリズムを理解する人が多ければ多いほど、暗号化アルゴリズムを分解して改良することができる。
ネットワーク監視
ネットワーク監視は、オープンソースソフトウェアのセキュリティプログラムの重要な部分である。オープンソースソフトウェアを使用している多くの人々は、独自のネットワークを持ち、それが非常に安全であるか、全く安全でないか、あるいはその中間であるかに関わらず、独自のネットワークを持っています。
オープンソースのソフトウェアは、すべての人を歓迎するかもしれません。しかし、それでも、ネットワークから脅威を遠ざけ、権限のないユーザーがアクセスすることを優先しないわけではありません。
ネットワークへの不正アクセスなど、悪意のある事象を検知するためには、ネットワークのセキュリティチェックを定期的に行うプロアクティブな監視システムに頼るのも一つの方法です。このようなシステムは、新たな潜在的脅威が発見された場合にも警告を発します」と述べています。
オープンソースソフトウェアは、プラットフォームへの受信トラフィックを監視し、悪意のあるユーザーや意図をリアルタイムで検出する、まさにネットワーク監視ソリューションを実現します。
監査、バックアップソリューション、リカバリー
ソフトウェアのセキュリティに関するあらゆる会話は、監査、バックアップソリューション、リカバリオプションについての言及なしには不完全なものとなります。データ漏洩、バグ、その他の脆弱性は、オープンソースソフトウェアで発生します。その点については、改めて、その豊富なアクセス性に感謝することができます。
しかし、多くの人が同じソフトウェアで共同作業をしているため、常に監査の機会が与えられることになります。ユーザーは、ソースコードやソフトウェアのどの部分でも取り出して、問題がないかどうかを分析することができます。多くはSWOT分析を行い、ソフトウェアの強み、弱み、機会、成功への脅威を特定するまでに至ります。
これらの監査には、多くのテストも含まれます。先に紹介したクラウドマネージドサービスは、コンプライアンスと十分なセキュリティを確保するため、第三者によるテストサービスを通じて定期的に侵入テストを受けている。他の多くのオープンソフトウェアソリューションも、これに倣っています。
バックアップとリカバリーのソリューションも、オープンソースソフトウェアのセキュリティにとって重要な要素です。多くのオープンソースソフトウェアのソリューションには、ユーザーが利用できるバックアップとリカバリのソリューションが組み込まれています。あるいは、自社のシステムとうまく統合できるバックアップやリカバリーのツールを提案してくれるかもしれません。
少なくとも、データをバックアップすることを忘れないでください。そして、万が一データが漏えいした場合に、どのように復旧させるかについて、主導権を握ることができます。
ボトムライン
オープンソースのテストソフトウェアは、一般の人がアクセスできるかもしれませんが、だからといって、プロプライエタリなソフトウェアよりも安全性が劣るというわけではありません。それどころか、多くの人がオープンソースソフトウェアの方がより安全な選択肢であることに同意するでしょう。オープンソースソフトウェアがどのように安全であるか、上記の説明を読めば、あなたもそう思うかもしれません。
