大規模ソフトの99％に用いられるOSS「今は脆弱性なくても将来必ず見つかる」：IoTセキュリティ（1/2 ページ）

日本シノプシスが各種産業におけるOSS（オープンソースソフトウェア）の利用状況を調査した「2019オープンソース・セキュリティ＆リスク分析レポート」の結果について説明した。

[朴尚洙，MONOist]

　日本シノプシスは2019年5月29日、東京都内で会見を開き、各種産業におけるOSS（オープンソースソフトウェア）の利用状況を調査した「2019オープンソース・セキュリティ＆リスク分析（2019 Open Source Security and Risk Analysis：OSSRA）レポート」の結果について説明した。

　このレポートは、企業買収時のソフトウェアの査定などを行っているBlack Duckの監査サービス部門の調査内容を匿名化し、シノプシスのCyRC（Cybersecurity Research Center）が分析し所見をまとめたものだ。今回の実施時期は2018年で、17の業種、1200以上の商用アプリケーションやライブラリといったコードベースが対象になっている。

「2019オープンソース・セキュリティ＆リスク分析レポート」の調査対象業種とその割合（クリックで拡大） 出典：日本シノプシス

日本シノプシスの吉井雅人氏

　日本シノプシス ソフトウェア・インテグリティ・グループ シニアセキュリティエンジニアの吉井雅人氏は「今から20年以上前の日本では、誰が書いたかも分からないOSSは使うな、というのが一般的だった。しかし現在、各種ソフトウェアに占めるOSSの比率は70％近いところまで来ている。もはやOSSなしでソフトウェア開発はできない状況だ」と語る。

　今回の調査結果では、対象となった1200以上のコードベースのうち96％にオープンソースコンポーネントが含まれていた。1000ファイル以上の大規模なコードベースになるとこの数字は99％に達する。また、コードベースに含まれているOSSの割合は平均で60％、1つのコードベース当たりのオープンソースコンポーネント数は298に上った。2017年に実施した前回の調査結果は、OSSの割合が57％、コンポーネント数が257なので、OSSの活用は大幅に増加していることが明らかになった。

コードベースに含まれているOSSの割合の推移（クリックで拡大） 出典：日本シノプシス

　業種ごとのOSSの割合を見ると、マーケティングテックが78％、インターネット／モバイルアプリが74％、サイバーセキュリティが70％、IoT（モノのインターネット）が66％など高い比率となった。一方、製造、産業、ロボット工学は43％、航空宇宙、航空、自動車、運輸、物流は37％と低めの数字になったが「通常は50％前後でもう少し高いイメージだ。今回の調査対象のコードベースはOSSが少なめだったのだろう」（吉井氏）という。

業種別のコードベースに含まれているOSSの割合（クリックで拡大） 出典：日本シノプシス