オープンソース利用管理ソリューションを提供するBlack Duck Softwareが公開した「2017 Open Source Security and Risk Analysis」(2017年版オープンソースのセキュリティとリスクの分析)レポートによると、オープンソースソフトウェアの利用に関して「業界の枠を越えた多大なリスク」が存在しているという。具体的には、オープンソースソフトウェア内で発見された脆弱性が適切に対処されていないというリスクだ。
同社はこれについて、適切なセキュリティプラクティスが確立されていないためであるとし、コンプライアンス面でも課題を抱えていることが示されていると述べるとともに、開発者は同レポートを「注意喚起」と捉えるべきだと述べている。
このレポートには、2016年を通じて企業が一般的に使用してきた1000本を超えるアプリケーションに関する調査結果が含まれている。全体的に見ると、アプリケーションの96%にオープンソースのコンポーネントが含まれており、60%を超えるアプリケーションにオープンソースに起因するセキュリティ脆弱性が含まれていた。またこうした脆弱性のなかには、4年以上前から存在していたものもあったという。
オープンソースを用いるこうしたプロジェクトは、無償で開発能力を提供する開発者コミュニティーに依存している。しかし無償ゆえにバグが見逃される場合もあるのだ。
オープンソースのコンポーネントに脆弱性が存在しており、それがサードパーティーの製品に入り込んだ場合、アプリケーションやソフトウェアのハッキングに利用できる潜在的な攻撃ベクタやリスクが増加することになる。
同レポートは、多くの企業が自社アプリケーションに対する可視性を欠いているという点と、いかにオープンソースのコンポーネントに依存しているかという点を示唆している。
いい加減なプラクティスによって引き起こされる最大のリスクの1つは金融業界にも影響を与えている。同社の研究者らがバンキングアプリケーションに潜むセキュリティ上の瑕疵(かし)を調査した結果、オープンソースに起因する脆弱性がアプリケーション1本あたり平均52件発見された。また全体的に見た場合、「critical」(緊急)に分類される脆弱性が60%のアプリケーションに存在していた。
小売およびEコマース業界のアプリケーションは、高リスクの脆弱性を抱えている割合が最も高く、調査したアプリケーション全体の83%が、パッチの適用されていないオープンソースコンポーネントの使用に起因する、緊急に分類される脆弱性を抱えていた。
オープンソースのコンポーネント間でライセンスの矛盾が存在する場合、この問題は調査対象となったアプリケーションの多くで見受けられた。
調査対象のアプリケーションの85%以上は、ライセンス上の「懸念」を抱えたオープンソースコンポーネントを含んでいた。懸念の例として、コピーレフト型とパーミッシブ型のライセンス形態の競合や、使用権と配布権、コンプライアンス規則に関する問題などの知的財産権上の不一致が挙げられる。こういった知的財産権すべては、フリーコンポーネントを開発した開発者の権利を守るためのものだ。
Black DuckのOpen Source Security Research Groupで責任者を務めるChris Fearon氏は「Center for Open Source Reseach and Innovation」(COSRI:オープンソースリサーチ&イノベーションセンター)の分析結果は、すべての業界において企業が自社のオープンソースを効果的に管理できるようになるには、まだ多くのことを成し遂げる必要がある点を明確に示している」と述べている。
提供:Symantec
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
