特集:IoTがもたらす製造業の革新〜進化する製品、サービス、工場のかたち〜
ニュース
» 2022年05月20日 07時30分 公開

米国大統領令の影響か? 商用ソフトウェアのOSS由来脆弱性が減少傾向にIoTセキュリティ(1/2 ページ)

日本シノプシスは、商用ソフトウェアにおけるOSS(オープンソースソフトウェア)の利用状況を調査した「2022年オープンソース・セキュリティ&リスク分析(Open Source Security and Risk Analysis:OSSRA)レポート」の結果について説明した。

[朴尚洙,MONOist]

 日本シノプシスは2022年5月19日、オンラインで会見を開き、商用ソフトウェアにおけるOSS(オープンソースソフトウェア)の利用状況を調査した「2022年オープンソース・セキュリティ&リスク分析(Open Source Security and Risk Analysis:OSSRA)レポート」の結果について説明した。

 同レポートは、企業買収時のソフトウェアの査定などを行っているBlack Duckの監査サービス部門の調査内容を匿名化し、シノプシスのCyRC(Cybersecurity Research Center)が分析し所見をまとめたもの。今回の実施時期は2021年で、17の業種、2400以上の商用アプリケーションやライブラリといったコードベースが対象になっている。

2022年OSSRAレポートの調査対象となったアプリケーション(コードベース)と17業種の比率 2022年OSSRAレポートの調査対象となったアプリケーション(コードベース)と17業種の比率[クリックで拡大] 出所:日本シノプシス

 これまでOSSRAレポートと異なるのは、調査の対象となるCyRCが監査したコードベースの数が大幅に増えていることだ。2020年と比べて64%もの増加になっている。日本シノプシス ソフトウェア・インテグリティ・グループ シニアセキュリティエンジニアの吉井雅人氏は「2021年は世界全体のテクノロジー/テレコム業界における買収金額が1兆2400億米ドルとなり2020年から倍増した。このため、OSSRAレポートのベースとなる監査したコードベースの数も大幅に伸びた」と説明する。

世界全体のテクノロジー/テレコム業界における買収金額の推移 世界全体のテクノロジー/テレコム業界における買収金額の推移[クリックで拡大] 出所:日本シノプシス

 ただし、ソフトウェア開発でOSSの利用が当たり前になっている傾向に変わりはない。調査対象となった2409のコードベースのうち、OSSを含んでいたコードベースは97%、全コードベースに占めるオープンソースの割合も78%となり、2020年の98%、75%という数字とほぼ変わらないものとなっている。

2022年OSSRAレポートの分析結果 2022年OSSRAレポートの分析結果[クリックで拡大] 出所:日本シノプシス

コードベース1つ当たりに含まれる脆弱性が減少

 OSSRAレポートでは、「脆弱性」「ライセンス」「メンテナンス」(2021年レポートでは「サスティナビリティ」)の3点をOSSのリスクとして報告している。

 まず、脆弱性では、少なくとも1つの脆弱性が見つかったコードベースの割合が81%、リモートコード実行などにつながり得る高リスクの脆弱性を含むコードベースの割合が49%となった。2018〜2020年(調査対象年ベース。以下同じ)の2年間はOSSに含まれる脆弱性の割合は増加傾向にあったが、今回は一転して減少に転じた。

OSSに含まれる脆弱性の割合の推移 OSSに含まれる脆弱性の割合の推移[クリックで拡大] 出所:日本シノプシス

 コードベース1つ当たりのコンポーネント数は、2020年の528から2021年は508となったものの「アプリケーションの規模にも一定の限界があり、コンポーネント数は500程度で頭打ちになったとみられる」(吉井氏)という。コンポーネント数に大きな変動がない一方で、コードベース1つ当たりに含まれる脆弱性の数の平均については、2019年の110から2020年に158に急増したにもかかわらず、2021年は138に減少している。吉井氏は「米国大統領のジョー・バイデン氏によるSBOM(ソフトウェア部品表)の開示を求める大統領令を受けて、コードベース内の脆弱性への対処を進めたのではないか」と指摘する。とはいえ、前回のOSSRAレポートでも報告されていた「jQuery」や「Lodash」などで脆弱性が多く検出されていることに変わりはない。

コードベース1つ当たりのコンポーネント数と脆弱性の数の平均コードベースに含まれる上位の脆弱性 コードベース1つ当たりのコンポーネント数と脆弱性の数の平均(左)とコードベースに含まれる上位の脆弱性(右)[クリックで拡大] 出所:日本シノプシス
       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.