効果の期待できないオープンソースのセキュリティおよび管理が、世界中に広まっています。
昨年、Black Duckのオープンソースリサーチ&イノベーションセンター(COSRI)では、M&A取引のために監査された、1000以上のアプリケーションについての分析を行いました。COSRIの監査分析により、アプリケーションの96%がオープンソースソフトウェアを含んでおり、それらアプリケーションの60%以上が既知のオープンソースセキュリティ脆弱性を含んでいることが明らかになりました。
注目すべきは監査対象となった金融業界向けアプリケーションの60%に、ハイリスクで未解決になっている脆弱性が含まれていたという点です。さらに、COSRIの分析により、監査対象となった小売りおよびeコマース業界で使用されているアプリケーションの83%にハイリスクかつ既知のオープンソース脆弱性が含まれていたことがわかりました。
監査対象のアプリケーション内に識別されたオープンソース脆弱性の存在が周知されてきた期間は、平均で4年を上回っていました。そう、4年以上です。
超高性能な自動システムがリアルタイムで株式取引を実行できる時代に、成功を収めている多くの大規模エンタープライズが、オープンソースに依存して事業を遂行しているにもかかわらず、静的なスプレッドシートにてオープンソースの使用状況を追跡しているというのは、信じがたいことです。
それで、何ができるのでしょう?
かつては技術の世界に散見するだけであったオープンソースソフトウェアは、現在ではソフトウェアアプリケーションの世界のいたるところに普及しています。その理由は、開発コストが安く、イノベーションとマーケット投入の時間が短縮できるからです。NetflixやUber、Amazonといった企業は、オープンソースを活用して各々の業界において破壊的な革命を起こそうとしており、オープンソースの使用は今後数年間でまちがいなく加速し続けるでしょう。
つまり、効果的なオープンソースの管理とセキュリティは、ますます重要となるのです。
Microsoftのような商用ソフトウェアとは異なり、クリティカルなオープンソースセキュリティのアップデートは、利用可能となっていたとしても、Equifaxのようなユーザーにはなかなか情報が周知されません。自社でどのようなオープンソースが使用されているのかを理解し、自社のオープンソースパッケージのパッチ、フィックスおよびアップグレードの情報を把握できるかどうかは、ユーザー次第なのです。COSRIの監査分析で明らかなように、多くの企業では、このようなことを効果的なアプローチを採用していないのが現状です。
企業・組織にとってアプリケーションおよびWebサイト内のオープンソースを可視化し、それを管理するためのもっとも効果的な方法は、オープンソース用アプリケーションの監視およびオープンソースコンポーネントのリスト化から、そのオープンソースをオープンソース脆弱性データベースにマッピングするまでのプロセスを自動化することです。そうすることにより、企業・組織は、既知の脆弱性を識別でき、新たなオープンソースの脆弱性が報告されたときには、自社のリストをチェックできるようになります。
このような可視化および警戒により、企業・組織はEquifaxおよび同社の15000万人の顧客に影響を及ぼしたオープンソースの弱点から自社およびその顧客を効果的に保護できるようになるのです。さらに、Equifaxに最も好ましくないかたちで脚光を浴びた、Apache Strutsの脆弱性を突いた攻撃を次に受けるのは自社かもしれないかどうかを判断するために、場当たり的な対応をとるのも避けられるようになります。
オープンソースソフトウェアは、技術開発やコンテナ、クラウド、IoTをはじめとする、技術のあらゆる分野で重要さを増しつつあります。
ベンジャミン・フランクリンが282年前に言った冒頭の忠告を守る企業が、勝利する企業となるでしょう。
(Black Duck Software CEO ルー・シップリー)
オートメーション新聞は、1976年の発行開始以来、45年超にわたって製造業界で働く人々を応援してきたものづくり業界専門メディアです。工場や製造現場、生産設備におけるFAや自動化、ロボットや制御技術・製品のトピックスを中心に、IoTやスマートファクトリー、製造業DX等に関する情報を発信しています。新聞とPDF電子版は月3回の発行、WEBとTwitterは随時更新しています。
