オープンソースソフトウェア 脆弱性と管理の重要性
オープンソースソフトウェア(OSS)の安全性確保と管理の自動化ソリューションの分野で世界最大手のブラック・ダック・ソフトウェアは『2017年度版オープンソースセキュリティ&リスク分析レポート(OSSRA2017)』を公開。製造、工場生産、ロボティクス業界におけるアプリケーション当たりの脆弱性の数は34.9件で、アプリケーションの6割にリスクが高い脆弱性を含むとし、利用を推奨する半面、その管理とセキュリティ対策の重要性を訴えた。
業務アプリの99%がOSSを利用。うち67%に脆弱性
ブラック・ダック・ソフトウェアは、5月19日都内で会見し、『2017年度版オープンソースセキュリティ&リスク分析レポート(OSSRA2017)』について説明した。同社は、毎年、企業の合併吸収に関連する数百のオープンソースコードの監査を実施し、本報告書は、Black Duckのオープンソースリサーチ&イノベーションセンター(COSRI)が2016年に行ったオープンソースソフトウェア(OSS)の監査結果をまとめたもの。調査対象となったのは、16年に監査を行った15業種440社の1071件の業務アプリで、そのうち96%がOSSを利用し、そのうちの67%に脆弱性が含まれていたという。
製造、工場生産、ロボティクス業界におけるアプリケーション当たりの脆弱性の数は、34.9件で、アプリケーションの6割にリスクが高い脆弱性を含むことが報告された。
ブラック・ダックセキュリティストラテジ担当副社長のマイク・ピッテンジャー氏は「OSS利用が増え、依存度がますます高まる中、システムを常に監視し、バグを検知・修正する必要がある。この3年だけでも1万件を超えて発生する脆弱性を手作業で把握するのは困難。前週のランサムウエア(WannaCry)の騒ぎで、パッチ適用の重要性は明らかだ」と指摘した。
1アプリケーションあたり147のOSSを利用。気付かず使っている例も
1つの業務アプリケーションに含まれるOSSのコンポーネントの平均は、147件。ユーザーが把握しているコンポーネントは45%で、残りの55%は、OSSであるという認識がないまま使っているという。
深刻な脆弱性を持つコンポーネントでは、Apache HTTP Server(13.8%)、Apache Commons Collections(11.8%)、Apache Tomcat(10.1%)などが上位を占めた。
分析したアプリケーションで最も危険なコンポーネントとして確認されたのは、Linux
Kernel v2.6.27.7、PHP v4.0.0、.NET Framework v1.1、Ruby on Rails v3.2.0、Python v2.7など。Linux Kernel v2.6.27.7の場合、脆弱性総数293のうち73が「ハイリスクな脆弱性」であることが報告された。
アプリケーションの85%がOSSのライセンス違反のコンポーネントを使用
また、オープンソースライセンスにはライセンスへの抵触が広く確認された。監査したアプリケーションには平均して147のオープンソースコンポーネントが含まれ、監査したアプリケーションの85%にはライセンスに抵触しているコンポーネントが含まれていることが明らかにされた。多かったのはGPLライセンスの違反で、75%のアプリケーションに、GPLライセンスファミリーに属するコンポーネントが含まれて、GPLの制約に適合していたのはわずか45%にすぎなかった。
開発効率、イノベーション加速に有効なOSS。一方でセキュリティリスクも
Black Duck、CEOのLou Shipleyは、「オープンソース利用は世界中に広がっています。今日のアプリのコードの80~90%がオープンソースであることが最新の研究報告で明らかになっています。オープンソースには、開発コストを下げ、イノベーションを加速し、開発期間を短縮できるというメリット・価値があることを考えれば、この数字は当然といえるでしょう。当社の監査によって普遍的な利用が確認されると同時に、オープンソースのセキュリティ脆弱性およびライセンスコンプライアンスの問題に関連するリスクへの対策が期待するほど効果がないことも明らかになりました。アプリケーション層がハッカーの主な標的であることから、監査での発見がセキュリティ責任者にとって『気づき』となることを期待しています。オープンソース脆弱性のエクスプロイトは、多くの企業が抱えるアプリケーションの最大のセキュリティリスクです」と語っている。