編集部からのお知らせ
ZDNet Japanが新しくなりました!
New! 懸念高まる産業機器のセキュリティ

「DevSecOps」のヒント、自動車業界に学ぶOSSのリスク管理:ブラックダック

國谷武史 (編集部)

2017-09-13 06:00

 オープンソースソフトウェア(OSS)管理ソリューションを提供するBlack Duck Softwareは、アプリケーション開発におけるOSSの採用拡大が、脆弱性やライセンス違反などのリスクを高めると警鐘を鳴らす。OSSのリスク管理について、セキュリティ戦略担当バイスプレジデントのMike Pittenger氏が解説した。


Black Duck Software セキュリティ戦略担当バイスプレジデントのMike Pittenger氏

 Pittenger氏によれば、ウェブやモバイル、クラウド、IoTの台頭を背景に、現在のアプリケーション開発では新機能をいち早く市場に投入すべく、さまざまなOSSが活用されている。これによって開発のスピードや効率性が高まる一方、アプリケーションのリリースサイクルが短くなることでセキュリティテストなどに十分な時間をかけたり、OSSの使用状況を把握したりすることが難しくなっているという。

 セキュリティ面の課題では、2014年に発覚したOpenSSLの脆弱性に「Heartbleed」という名称が付けられて以降、OSSの脆弱性が重大なセキュリティ問題につながるケースは珍しくない。2017年もウェブアプリケーションフレームワークのApache Strutsの脆弱性を突く攻撃によって、多数のウェブサイトから個人情報が流出している。

 ライセンスの観点では、種類や利用形態によって異なる使用条件などを順守しなければ、コンプライアンスの違反を問われかねない。信用面に影響するだけなく、違反金の支払いといった問題も起こり得る。

 同社が6月に発表した最新レポートによれば、1つのアプリケーションにつき平均147種類のオープンソースのコンポーネントが組み込まれている。しかし、システム担当者が把握しているのは、この半分程度に過ぎないという。また、アプリケーションの67%に既知のOSSの脆弱性が存在し、その数は1つのアプリケーションにつき平均で27件に上る。

 Pittenger氏が特に主張するのは、アプリケーションのセキュリティ強化だ。「ある金融機関の担当者は、NSA(米国家安全保障局)のような国家機関によってもたらされるセキュリティのリスクは避けようがないものの、OSSなどの脆弱性はだれもがそれを悪用して容易に攻撃できてしまう状況にあり、深刻なリスクだと話した」(Pittenger氏)

 こうした認識が広まる一方でPittenger氏によると、企業のセキュリティ予算の約7割は、ファイアウォールなどネットワーク側の対策に費やされている。アプリケーション開発でのスピードや効率性を優先すると、セキュリティ上の対応が後手に回り、ネットワークの対策でセキュリティを確保している実情もある。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

Special PR

特集

CIO

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]