オープンソースの採用広がる車載ソフトは「脆弱性も管理すべき」：IoTセキュリティ（1/2 ページ）

Black Duck Software CEOのルー・シップリー（Lou Shipley）氏が「自動車業界におけるオープンソースソフトウェア（OSS）の管理と安全確保」について説明。製造業の中でも、ソフトウェア規模の増加が著しい自動車でのOSS採用が拡大しており、「OSSに含まれる脆弱性についてもしっかり管理しなければならない」（同氏）と主張した。

[朴尚洙，MONOist]

Black Duck Softwareのルー・シップリー氏

　ブラック・ダック・ソフトウェアは2017年6月9日、東京都内で記者会見を開催。来日した米国本社Black Duck Software CEOのルー・シップリー（Lou Shipley）氏が「自動車業界におけるオープンソースソフトウェアの管理と安全確保」について説明した。

　製品開発におけるソフトウェアの重要性が高まる中で、その再利用性の高さから広く利用されるようになっているのがオープンソースソフトウェア（OSS）だ。IT業界では2000年以降、LinuxやApacheをはじめとするOSSが広く利用されており、一定の制限はあるものの無償で使用できることもあってその採用比率は高まり続けている。シップリー氏は「OSSのプロジェクト数は、2007年の10万から、2015年には150万まで増えた。2017年は250万に達する見込みだ。また2018年までには、アプリケーションのうち70％がOSSのデータベースを用いることになるだろう」と語る。

OSSのプロジェクト数の推移（クリックで拡大） 出典：ブラック・ダック・ソフトウェア

　OSSの採用比率が高まる一方で、OSSが抱える脆弱（ぜいじゃく）性も多数発見されるようになっている。「2014年以降、OSSの新たな脆弱性が1万以上見つかっている。その一方で、今まで利用してきたOSSに脆弱性があるかどうかを手動で見つけ出すのは大変な作業だ」（シップリー氏）。ブラック・ダック・ソフトウェアは2015年から、顧客のアプリケーションに用いられているOSSの脆弱性を管理するツール「Black Duck HUB」を提供することで、課題解決を支援している。

OSSで発見される脆弱性の数は年々増えている（クリックで拡大） 出典：ブラック・ダック・ソフトウェア

　同社の行った調査「2017年オープンソースセキュリティとリスク分析」では、アプリケーションの96％にOSSが用いられており、そのうち67％で既知の脆弱性が処理されず残っていた。1個のアプリケーションで見ると、平均で147のOSSコンポーネントが使用されており、既知のOSSの脆弱性は平均で27あった。「Heartbleed」「Poodle」「Freak」「Drown」といった致命的なことで知られる脆弱性でさえも、7％のアプリケーションに含まれていたという。

「2017年オープンソースセキュリティとリスク分析」（クリックで拡大） 出典：ブラック・ダック・ソフトウェア

　シップリー氏は「かつて私が在籍していたソフトウェア企業が買収される際に、買収する側の企業から『どれくらいOSSを使っているか』と聞かれた。CTOは『ほぼ使っていないだろう』と言ったが実際には40％ほど使っていた。これが私とブラック・ダックの出会いのきっかけなのだが、多くの企業がOSSに対して無頓着なことを示すエピソードでもある」と強調する。