　Log4jは、1999年10月にリリースされ2015年8月にEOL（End of Life）を迎えたバージョン1と、今回のLog4Shellが見つかったバージョン2の「Log4j2」がある。吉井氏は「Log4ShellはLog4j2で見つかった脆弱性だが、EOLを迎えたLog4jのバージョン1もリモートコード実行などの脆弱性が残ったままだ。Log4Shellが大きな話題になったにも関わらず、リスクの高いLog4jのバージョン1はまだ広く利用されている」と説明する。

「Log4j」の2つのバージョン［クリックで拡大］出所：日本シノプシス

　実際に、Black Duckの脆弱性データベースへのアクセス状況を見ると、Log4j2については、Log4Shellの脆弱性が明らかになった2021年12月から2022年2月にかけて対処が完了したバージョン2.17への切り替えが速やかに進んだ。しかし、Log4jのバージョン1については同期間で高止まりした状態にあり、Log4j2への移行が進んでいないことが分かった。「Log4jのバージョン1とLog4j2には互換性がないことが理由だが、EOLに気付けていない可能性もある」（吉井氏）。

「Log4j」のバージョン利用の推移［クリックで拡大］出所：日本シノプシス

　ライセンスについては、ライセンス競合の可能性があるコードベースの割合が53％、ライセンスがないまたはカスタムライセンスを使用したOSSコンポーネントを含むコードベースの割合は30％となった。ライセンス競合の可能性があるコードベースの割合は2017年から減少傾向が続いており、特に2020年から2021年は大幅な減少がみられた。これも、米国大統領令によるSBOM開示の要求に対応した結果の可能性が高い。

OSSにライセンス関連の問題が含まれる割合の推移［クリックで拡大］出所：日本シノプシス

　ライセンス関連では、OSSそのもののライセンス条件がライセンス競合の原因になるとは限らないという指摘があった。開発者向けQAWebサイトの「stackoverflow」に掲載されたコードを利用したあるOSSはMITライセンスを採用していたものの、stackoverflowのライセンス設定がかなり利用制限の厳しい「Creative Commons Attribution Share Alike 3.0」だったため競合が発生したという事例が紹介された。

「Creative Commons Attribution Share Alike 3.0」によるライセンス競合［クリックで拡大］出所：日本シノプシス

stackoverflowのコードを利用したことを明示したOSS（左）。しかしstackoverflowのライセンス設定は「Creative Commons Attribution Share Alike 3.0」であり競合が発生した（右）［クリックで拡大］出所：日本シノプシス

　メンテナンスでは、過去2年間に開発活動実績がなかったコンポーネントを含むコードベースの割合が88％、4年以上前の旧バージョンのOSSを使用しているコードベースの割合が85％となった。ここでも、右肩上がりだった過去2年間に開発活動実績がなかったコンポーネントを含むコードベースの割合が減少に転じており、米国大統領令の影響があった可能性がある。

OSSにメンテナンス関連の問題が含まれる割合の推移［クリックで拡大］出典：日本シノプシス

　吉井氏は、コード行数の90％超を10人未満の開発者が担当しているプロジェクトが94％に上ること、コード行数の80％を1人の開発者が担当しているプロジェクトが23％もあることを挙げ、「企業がソフトウェア開発に利用している重要なOSSは、一定のコストや人員をかけてでもそのプロジェクトの開発にコミットすべきではないか。そうすれば、Log4jで指摘したEOLに気付かないという問題への対処も容易になる。サプライヤーが開発した有償のリポジトリでは調達チェックリストや非公開リポジトリなどの確認プロセスがあるにもかかわらず、無償のOSSはなぜかそのままダウンロードして利用していることが多い。そうではなく、OSSについても、セキュリティレビューやコンプライアンスチェックリスト、非公開リポジトリなどの確認プロセスを適用すべきだ。そして、OSSプロジェクトにコミットするれば、そういった成熟したオープンソースの利用が可能な体制を構築できるのではないか」と述べている。

成熟したオープンソースの利用が求められる［クリックで拡大］出所：日本シノプシス

⇒その他の「IoTセキュリティ」の記事はこちら

オープンソースソフトウェアの採用率は98％に拡大、脆弱性含む割合も増加の一途
日本シノプシスは、商用ソフトウェアにおけるOSS（オープンソースソフトウェア）の利用状況を調査した「2021年オープンソース・セキュリティ＆リスク分析（Open Source Security and Risk Analysis：OSSRA）レポート」の結果について説明した。
ソフトウェアのオープンソース比率が70％に、5年前の36％からほぼ倍増
日本シノプシスは、各種産業におけるOSS（オープンソースソフトウェア）の利用状況を調査した「2020年オープンソース・セキュリティ＆リスク分析（2020 Open Source Security and Risk Analysis：OSSRA）レポート」の結果について説明。調査対象となったアプリケーションに占めるOSSコンポーネントの比率は70％に達したという。
大規模ソフトの99％に用いられるOSS「今は脆弱性なくても将来必ず見つかる」
日本シノプシスが各種産業におけるOSS（オープンソースソフトウェア）の利用状況を調査した「2019オープンソース・セキュリティ＆リスク分析レポート」の結果について説明した。
拡大する組み込みOSS、ソフトウェアのトレーサビリティーを確保せよ
シノプシスは、コネクテッドカーなど機器の高度化が進みソフトウェア開発の複雑性が増す中で、新たにソフトウェア開発の安全性を確保する基盤作りに取り組む。同社社長兼共同CEOのチー・フン・チャン氏に話を聞いた。
オープンソースの採用広がる車載ソフトは「脆弱性も管理すべき」
Black Duck Software CEOのルー・シップリー（Lou Shipley）氏が「自動車業界におけるオープンソースソフトウェア（OSS）の管理と安全確保」について説明。製造業の中でも、ソフトウェア規模の増加が著しい自動車でのOSS採用が拡大しており、「OSSに含まれる脆弱性についてもしっかり管理しなければならない」（同氏）と主張した。
シノプシスがブラックダックを買収、活用広がるOSSをよりセキュアで高品質に
シノプシスは、OSSのセキュリティマネジメント自動化ソリューションを開発するブラック・ダック・ソフトウェアを買収することを発表した。ソフトウェアセキュリティなどの普及を強化し、顧客企業の開発リスク低減を推進していく。