多くの企業はOSSのセキュリティ／管理リスクに対応しきれていない～Black Duck

　Black Duck Software（以下、Black Duck）は、「2017年度版オープンソースセキュリティ＆リスク分析レポート（OSSRA 2017）」を公開した。このレポートは、Black Duckのオープンソースリサーチ＆イノベーションセンター（COSRI）が2016年に行ったオープンソースソフトウェア（OSS）の監査結果を、レポートとしてまとめたもの。調査対象となったのは、フィンテック、自動車、ソフトウェアを含む、15業界440社の1071のコードベース。

　調査の結果、96％のアプリケーションにOSSが利用されており、平均して147のOSSコンポーネントが含まれていた。また、これらのOSSを利用したアプリケーションの67％は、何らかの脆弱性が発見されているコンポーネントを含んでおり、その中の52％からは“深刻な”脆弱性が発見されたという。

　Poodle、Freak、Drownといった重要度の高いものも含まれており、数年前に世界的なニュースとなったHeartbleedも1.5％以上に含まれていたとのこと。

多くの組織が重大なセキュリティおよび管理リスクにまだ対応しきれていない

　分析したアプリケーションの中で、もっとも危険なコンポーネントとしてリストされたのは、Linux Kernel v.2.6.27.7、PHP v4.0.0、.NET Framework v1.1、Ruby on Rails v.3.2.0、Python v2.7など。例えばLinux Kernel v.2.6.27.7の場合、脆弱性の総数が293あり、その中でハイリスクな脆弱性が73もあるという。さらに、OSSの脆弱性は年々増加する傾向にあり、2014年以降、1万件を超える脆弱性が確認されているとした。

もっとも危険なコンポーネントの上位リスト

OSSの脆弱性は年々増加する傾向にある

　また組織は、自らが利用しているOSSを正しく管理できていないケースも多い。監査対象の組織が利用しているアプリケーションには、OSSのコンポーネントは平均で147個含まれているが、実際にユーザーが把握しているのは45％に過ぎず、利用されている中の半分にも満たない。また多くの企業は、自分たちが利用しているOSSコンポーネントのリストを持っておらず、OSSのセキュリティおよび管理リスクに対応しきれていないという。

多くの企業ではOSSのコンポーネントのリストを持っていない

　さらに、調査対象のアプリケーションの85％には、ライセンスに抵触するOSSコンポーネントが含まれている。中でも多かったのはGPLライセンスの違反で、75％のアプリケーションに、GPLライセンスファミリーに属するコンポーネントが含まれており、GPLの制約に適合していたのはわずか45％にすぎなかったという。

　また、ライセンス条件が明確にされていない“未知”のコンポーネントも1％ほど存在しており、潜在的なライセンスのリスクとなっている。

　もはやOSSはアプリケーションに不可欠であり、さまざまな経路でアプリケーションのコードに、OSSのコードが組み込まれていくことは避けられない。しかし、組織内で利用しているすべてのOSSをスキャンしてリスト化し、脆弱性やライセンスなどのリスクを確認するといった作業を手動で行っていくことは現実的ではない。

　Black Duckの日本法人であるブラック・ダック・ソフトウェア 代表取締役社長のジェリー・フォズニック氏は、「Black Duckは組織内のOSSを管理するソフトウェアをサブスクリプションモデルで提供している。また、オンデマンドでOSSの監査も実施しており、主に企業買収において相手企業が持っているテクノロジーを監査し、脆弱性のあるコンポーネントを利用していないか、ライセンスに抵触していないかを確認することができる」と述べた。

ブラック・ダック・ソフトウェア 代表取締役社長 ジェリー・フォズニック氏

　Black Duckが提供するOSSのセキュリティ製品は、コード内のすべてのオープンソースをスキャンし、既知の脆弱性をマッピングし、ライセンスとコンポーネントの品質リスクを特定できる。さらに、スキャニング作業をCIビルドプロセスの一環として自動化することで、アプリケーション開発のライフサイクル全体を通じて実行することも可能だ。

　今後ますますOSSの利用は増加し、それに伴ってOSSの脆弱性を狙った攻撃も増えていくことが予想される。Black Duckのソリューションのように、OSSの安全性を確保するツールは必須な技術となっていくだろう。