大規模ソフトの99%に用いられるOSS「今は脆弱性なくても将来必ず見つかる」:IoTセキュリティ(2/2 ページ)
日本シノプシスが各種産業におけるOSS(オープンソースソフトウェア)の利用状況を調査した「2019オープンソース・セキュリティ&リスク分析レポート」の結果について説明した。
セキュリティインシデントのほとんどはOSSへのパッチ未適用が原因
OSSは、ソースコードが公開されており、誰でも自由にアクセス、利用、変更、再頒布ができ、一定のライセンスのもとで配布される。その再利用性の高さから、採用が広がるOSSだが、利用する際にはセキュリティリスクがあることも理解しておかなければならない。OSSは、開発やメンテナスを続ける中で何らかの脆弱性が見つかることが多い。その脆弱性を修正するためのパッチはOSSコミュニティーによって配布、共有されるものの、製品に組み込んだコードベースへのパッチ適用は、製品を開発した企業や技術者が自ら行わなければならないのだ。
吉井氏によれば、2009年から2018年にかけてのセキュリティインシデントの報道は、ほとんどがOSSへのパッチ未適用に起因するものだったという。今回の調査でも、OSSの脆弱性が修正されていないコードベースの割合は60%に上った。「前回調査の78%よりは改善しているが、依然として高い値だ。また、40%以上のコードベースに高いリスクの脆弱性が含まれている」(同氏)。また、これらの脆弱性は、ソースコードが開示されてからの期間が長いことも特徴になっている。全体の平均では6.6年で、ソースコード開示から10年以上の脆弱性は43%、最古の脆弱性に至っては28年が経過していた。
先述した通り、OSSは「一定のライセンスのもとで配布される」が、このライセンスにもリスクが存在する。今回の調査結果では、調査対象のコードベースの68%にライセンス違反のコンポーネントが含まれており、「ライセンスなし」と判定されたコンポーネントを含むものが38%あったという。ライセンス違反については、組み合わせたコードの開示を求めるGPL v2.0に関するものがほとんどで、ライセンスなしは明確なライセンス規定がなく著作権のみが存在するものだ。さらに、調査対象のコードベースの32%にライセンス違反の問題が起こり得るようなカスタムライセンスが含まれていた。「OSSライセンスは2600種類あるといわれているが、上位20種のライセンスでOSSの98%をカバーしている。これら20種以外のカスタムライセンスへの対応は手間が掛かる可能性が高い」(吉井氏)。
吉井氏は「もはやOSSの利用は避けられない。しかし、OSSの利用はリスクではなく、OSSを管理できていないことがリスクなのだ。ほとんどのOSSの脆弱性は、ソースコードを開示した時には見つかっておらず、その利用が広がる中で見つかる。つまり、利用しようと考えているOSSは、将来的に脆弱性が必ず見つかると思うべきだ」と述べている。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- トヨタのオープンソース活用戦略、コネクテッドカーは「協力」でできている
Linuxベースの車載情報機器関連のオープンソースプロジェクトAutomotive Grade Linux(AGL)が開発者向けイベント「Automotive Linux Summit」を開催。その基調講演にトヨタ自動車 コネクティッドカンパニー コネクティッド戦略企画グループ プロジェクトゼネラルマネージャーの村田賢一氏と、トヨタ自動車 知的財産部 コネクティッドビークルグループ プログラムマネージャーの遠藤雅人氏が登壇した。 - 車載Linux「AGL」の本格採用を始めるトヨタ、特許リスクも見据える
Automotive Grade Linux(AGL)の開発者向けイベント「Automotive Linux Summit 2017」の基調講演に、トヨタ自動車の村田賢一氏が登壇。トヨタ自動車におけるAGL関連の開発活動や、AGLの初採用車両となる新型「カムリ」との関係について語った。また、今後の採用拡大時に課題になる特許リスクについても指摘した。 - 拡大する組み込みOSS、ソフトウェアのトレーサビリティーを確保せよ
シノプシスは、コネクテッドカーなど機器の高度化が進みソフトウェア開発の複雑性が増す中で、新たにソフトウェア開発の安全性を確保する基盤作りに取り組む。同社社長兼共同CEOのチー・フン・チャン氏に話を聞いた。 - オープンソースの採用広がる車載ソフトは「脆弱性も管理すべき」
Black Duck Software CEOのルー・シップリー(Lou Shipley)氏が「自動車業界におけるオープンソースソフトウェア(OSS)の管理と安全確保」について説明。製造業の中でも、ソフトウェア規模の増加が著しい自動車でのOSS採用が拡大しており、「OSSに含まれる脆弱性についてもしっかり管理しなければならない」(同氏)と主張した。 - シノプシスがブラックダックを買収、活用広がるOSSをよりセキュアで高品質に
シノプシスは、OSSのセキュリティマネジメント自動化ソリューションを開発するブラック・ダック・ソフトウェアを買収することを発表した。ソフトウェアセキュリティなどの普及を強化し、顧客企業の開発リスク低減を推進していく。 - ロボット開発に学ぶ、モノづくりへのOSS活用ポイント
モノづくりにおけるOSS(オープンソースソフトウェア)への関心は高まる一方ながら、上手に活用されている例は少ない。OSSによるロボティクス領域の形成と発展をサポートする東京 オープンソースロボティクス協会の取り組みを通じ、「モノづくりへのOSS活用ポイント」を探る。