オープンソースソフトウェア(OSS)管理ソリューションを提供するBlack Duck Softwareは、アプリケーション開発におけるOSSの採用拡大が、脆弱性やライセンス違反などのリスクを高めると警鐘を鳴らす。OSSのリスク管理について、セキュリティ戦略担当バイスプレジデントのMike Pittenger氏が解説した。

Black Duck Software セキュリティ戦略担当バイスプレジデントのMike Pittenger氏
Pittenger氏によれば、ウェブやモバイル、クラウド、IoTの台頭を背景に、現在のアプリケーション開発では新機能をいち早く市場に投入すべく、さまざまなOSSが活用されている。これによって開発のスピードや効率性が高まる一方、アプリケーションのリリースサイクルが短くなることでセキュリティテストなどに十分な時間をかけたり、OSSの使用状況を把握したりすることが難しくなっているという。
セキュリティ面の課題では、2014年に発覚したOpenSSLの脆弱性に「Heartbleed」という名称が付けられて以降、OSSの脆弱性が重大なセキュリティ問題につながるケースは珍しくない。2017年もウェブアプリケーションフレームワークのApache Strutsの脆弱性を突く攻撃によって、多数のウェブサイトから個人情報が流出している。
ライセンスの観点では、種類や利用形態によって異なる使用条件などを順守しなければ、コンプライアンスの違反を問われかねない。信用面に影響するだけなく、違反金の支払いといった問題も起こり得る。
同社が6月に発表した最新レポートによれば、1つのアプリケーションにつき平均147種類のオープンソースのコンポーネントが組み込まれている。しかし、システム担当者が把握しているのは、この半分程度に過ぎないという。また、アプリケーションの67%に既知のOSSの脆弱性が存在し、その数は1つのアプリケーションにつき平均で27件に上る。
Pittenger氏が特に主張するのは、アプリケーションのセキュリティ強化だ。「ある金融機関の担当者は、NSA(米国家安全保障局)のような国家機関によってもたらされるセキュリティのリスクは避けようがないものの、OSSなどの脆弱性はだれもがそれを悪用して容易に攻撃できてしまう状況にあり、深刻なリスクだと話した」(Pittenger氏)
こうした認識が広まる一方でPittenger氏によると、企業のセキュリティ予算の約7割は、ファイアウォールなどネットワーク側の対策に費やされている。アプリケーション開発でのスピードや効率性を優先すると、セキュリティ上の対応が後手に回り、ネットワークの対策でセキュリティを確保している実情もある。