　日本シノプシスは2024年4月17日、オンラインで会見を開き、商用ソフトウェアにおけるOSS（オープンソースソフトウェア）の利用状況を調査した「2024 オープンソース・セキュリティ＆リスク分析（OSSRA：Open Source Security and Risk Analysis）レポート」の結果について説明した。また、近年のOSSRAレポートのキーワードとなっているSBOM（ソフトウェア部品表）と関わるソフトウェアコンポジション解析について、OSSだけでなくカスタムコンポーネントや商用コンポーネントにも対応する「Black Duck Supply Chain Edition」を発表した。

　同レポートは、企業買収時のソフトウェアの査定などを行っているシノプシスの監査サービス部門の調査内容を匿名化した上で、CyRC（Cybersecurity Research Center）が分析して所見をまとめたものだ。第9回目の発行となる今回のレポートは、2023年1～12月の1年間に行った、17の業種、1067の商用コードベース（アプリケーションやライブラリなど）を対象に行った調査内容が基になっている。

　今回のOSSRAレポートで特筆すべきなのは、高リスク脆弱性を含むコードベースの割合が、前回調査の1.5倍以上となる74％に増えたことだろう。2020年に60％まで増えて以降、2021年、2022年と2年連続で50％弱に減少していたため、今後もこの傾向が続くと見られていただけに衝撃的な結果となった。

「2024 OSSRAレポート」の分析結果概要。高リスク脆弱性を含むコードベースの割合が急増している［クリックで拡大］出所：日本シノプシス

日本シノプシスの吉井雅人氏

　日本シノプシスソフトウェア・インテグリティ・グループセキュリティ・エンジニアリング・マネージャの吉井雅人氏は「まず、米国を中心とする景気減速の影響で技術者のレイオフにより、脆弱性のパッチ適用を行うためのリソースが減少し、高リスク脆弱性を含むコードベースが多数残ってしまったのではないか。また、景気減速によって企業買収も不活発になっており、調査対象の数も約1700から約1000に減少した。母数が減少した上で、前述した理由で高リスク脆弱性を含むコードベースが多数残ることで、大幅な数字の上昇につながった可能性がある」と説明する。

　OSSをはじめソフトウェアの脆弱性に起因するさまざまな問題に対応するため、米国と欧州は法整備を強化している。米国は、2021年5月に米国大統領令「EO 14028」を発令し、これに基づいてNIST（米国国立標準技術研究所）が2022年2月にセキュアなソフトウェア開発フレームワーク（SSDF）を規定する「NIST SP800-218」を更新している。欧州でも、デジタル要素を備えたハードウェアおよびソフトウェア製品のサイバーセキュリティ要件を説明する法的枠組みである「CRA（Cyber Resilience Act、欧州サイバーレジリエンス法案）」の施行が秒読み段階に入っている。

米国大統領令「EO 14028」（左）に基づいて更新されたSSDFの概要（右）［クリックで拡大］出所：日本シノプシス

欧州のCRAの概要（左）とソフトウェア開発者が意識すべきこと（右）［クリックで拡大］出所：日本シノプシス

　これらの法規制を順守する上で重要な役割を果たすのがSBOMである。SSDF、CRAともソフトウェアを開発する企業に対してSBOMの作成や公開を求めている。そして、これらの法整備の進展に合わせて企業側もSBOMの作成などの対応を進めているからこそ、高リスク脆弱性を含むコードベースの割合が2020～2022年に減少傾向にあったとこれまでのOSSRAレポートでは見立てていた。しかし今回大幅に増加してしまった結果から「景気減速の影響は、法規制対応の進展も遅らせている可能性がある」（吉井氏）という。

　なお、オープンソースを含むコードベースの割合は96％、全コードベースに占めるオープンソースの割合は77％、1つ以上の脆弱性を含むコードベースの割合は84％という数字については2020年以降横ばいであり、今回も大きな変化はなかった。

ライセンス関連ではAI生成コードも課題に

　　　　　　 1|2 次のページへ