UPDATE :
オープンソースって何?セキュリティは大丈夫?
IP-PBXの開発競争が進む背景には、オープンソースのソフトウェア「Asterisk」の普及があります。AsteriskはIP-PBX製品で頻繁に利用されているソフトウェアですが、社内の通話では企業秘密に関する連絡も行われるため、オープンソースやセキュリティについて知っておくと、より安全なIP-PBXの活用が期待できます。
本記事では、オープンソースの概要とセキュリティについてまとめました。
目次
- 1.オープンソースとは
- オープンソースのメリット
- 2.IP-PBXに使用されるオープンソース「Asterisk」
- 3.「Asterisk」のメリット
- 4.オープンソースのソフトウェアでのセキュリティ対策
- 5.まとめ
オープンソースとは
オープンソースとは、ソースコードが公開されており、誰でも入手できるようにされているもの、またそのソフトウェアです。ソースコードとは機械向けではなく人間が理解しやすい形式で記述されたプログラム(また、その文字列)をいいます。ソースコードがあればプログラムの構造や動作原理などがわかるため、誰でも機能を改変したり、バグを修正したりすることが可能になります。
オープンソースの改変・再配布はオープンソースライセンスという規約で正式に認められています。改変されたソフトウェアの扱いを一部制限しているケースもありますが、オープンソースライセンスにより自由な再配布や複製が擁護されています。
オープンソースのメリット
常に改良され続ける
ソースコードが公開されているため、オープンソースのソフトウェアは、世界中の誰でも改変したり機能を拡張したりできます。その結果、無数の人が改良に携わることになり、さまざまなバージョンや機能が誕生します。それに対して多くの意見が寄せられることで、さらに役に立つ機能や、使いやすいソフトウェアが生まれることになります。
メーカーなどの制約に縛られない
オープンソースはメーカーなどの制約に縛られません。
オープンソースでないソフトウェアはプログラムが秘匿されているため、保守やメンテナンスができるのは、そのソフトウェアの制作元に限定されます。
一方、オープンソースならば、全ての情報が公開されているため、そのソフトウェアとは別のメーカーにメンテナンスを引き継いだり、監査を依頼したりすることが可能です。そのため、制作元の保守・メンテナンスが不十分だったり、サポート期間が終わってしまった場合でも、ソフトウェアを入れ替えずに第三者機関などへ保守依頼ができます。
コストが抑えられる
オープンソースは無料で配布されています。そのため、ライセンス費用がかからないほか、ライセンスの管理費用やそのための人件費も必要ありません。また、技術さえあればソフトウェアを自分でカスタマイズしたり修正したりすることができるので、さらに保守や機能追加に伴うコストを抑えられる可能性があります。
IP-PBXに使用されるオープンソース「Asterisk」
Asteriskは、IP-PBXに使用される代表的なオープンソースです。1999年頃から米国デジウム社のMark Spencer氏によって開発が始められ、2004年の9月に正式にリリースされました。LinuxなどのOSをインストールした一般的なパソコンに導入するだけで、IP-PBXとして動作します。
使用可能な機能は、電話会議・ボイスメール・IVR(自動音声応答)など、IP-PBXに求められる機能のほとんど全てです。また、通話を支えるためのSIPやH.323といったプロトコルも備えています。
さらに、IP回線のみならず、アナログ電話やISDNなど各種の電話網にも接続可能です。
Asteriskの使いづらさとしては、ラインキーに対応していないということが挙げられます。ラインキーとは、電話機のボタンを押して、呼び出しや通話、保留などを制御する機能のことで、日本では多用されていますが、海外ではほとんど使われていません。そのため、米国のPBX文化に合わせて開発されているAsteriskには、そもそも実装されていないのです。
ただし、国内で販売されている電話機やIP-PBXシステムでは、Asteriskを利用した製品でもラインキーを装備しているものがあります。
「Asterisk」のメリット
安価で導入できる
Asteriskは、初期費用が安価で済みます。例えばソフトフォンで導入する場合、Asteriskに対応できるパソコンと通話用のヘッドホン(イヤホン)があれば通話を実現できます。
また、Asteriskは電話交換の機能だけでなく、IVRやCTI(電話とパソコンの統合)の機能も標準で装備しています。そのため、IVRやCTIをPBXとは別に導入しなければならない従来の固定電話に比べ、コストを大幅に削減できます。PBXとパソコンを併用する機会の多いコールセンターなどにとって喜ばしい特徴です。
柔軟性が高い
Asteriskに専用のハードウェアは必要ありません。Linuxディストリビューションのほとんどで動作する上に、BSD系やUNIX系OS、Mac OS Xにも対応可能です。また、CTIやIVR、着信呼を自動的に分配するACDなど、オフィスやコールセンターにおける通話の利便性を高める機能の多くをカバーしています。
さらに、Asteriskはコンピュータに内蔵されるため、社内のグループウェアとの連動が容易です。例えば、複数のアカウントを一元化したり、社用メールやスケジュールなど複数のアプリケーションをPBXと組み合わせたりといった便利な使い方があります。
オープンソースのソフトウェアでのセキュリティ対策
オープンソースには、セキュリティに不安があるという声もあります。それは、誰でも自由に改変でき、不具合が起こっても開発元や開発コミュニティに責任が発生しないためです。
しかし、有名なオープンソースのほとんどには、保証やサポートを有償で提供する会社があります。そのサービスに加入すれば、セキュリティの信頼性は商用のソフトウェアと変わりません。さらに、オープンソースのセキュリティ対策法は、常に様々な団体や個人によって研究され、公開されています。そのため、知識があれば、納得のいくセキュリティ環境を、保守費用をかけることなく自力で構築することができます。
オープンソースのセキュリティ対策方法は、以下のような例があります。
情報収集
ネットワークにおいて情報セキュリティ上の問題となりかねない弱点を、脆弱性といいます。オープンソースのセキュリティを高めるためには、脆弱性の情報を入手する必要があります。また、セキュリティ対策の一環として、オープンソースのバージョンを把握することも重要です。頻繁に改変されるオープンソースでは、バージョンによって脆弱性が異なるためです。
バージョンを確認し、開発や運用にあたっては常に情報収集を行います。情報を提供する組織には、オープンソース・ソフトウェアコミュニティのような無償のものや、セキュリティ情報提供ベンダーのように有償のものがあります。有償のセキュリティ情報提供ベンダーはコストがかかりますが、最新のセキュリティ情報を一元的に把握できるといったメリットがあります。
セキュリティパッチの適用
脆弱性が見つかった場合、解決策を講じなければなりません。
その代表的な手段がセキュリティパッチの適用です。セキュリティパッチとは、ソフトウェア内で問題のあるファイルと置き換えることで修正を行うプログラムです。ソフトウェア全体に及ぶ改修ではなく、問題点だけを修正するのに適した手法です。バージョンに合わせて個別にパッチを提供するオープンソースのベンダーもあります。
ただし、パッチを適用することでシステムを不安定な状態にしてしまう可能性もあります。該当するファイルやパッチの情報、システムを管理する環境を参照した上で、デモ環境下におけるテストを何度か行ってから適用するのが無難です。
まとめ
オープンソースには、改変の自由さやコストの低さなど多くのメリットがあります。「情報収集を行う」「保守サービスを利用する」などのセキュリティ対策を施すことで不安も解消可能です。機能とセキュリティが充実したIP-PBX製品、ベンダーを選ぶことで、快適なIP-PBX運用を目指しましょう。
カテゴリ:お役立ち情報