日本シノプシスが「2018 Open Source Security and Risk Analysis(OSSRA)レポート」を公表した。同レポートは、これまで米Black Duck Softwareが毎年公表していたが、2017年11月にSynopsysがBlack Duckの買収を発表し、12月に買収完了。今回はSynopsysによるレポートとして発表された。
Synopsys ソフトウェアインテグリティグループ シニアテクノロジーエバンジェリストのTim Mackey氏
6月19日の説明会では、Synopsys ソフトウェアインテグリティグループ シニアテクノロジーエバンジェリストのTim Mackey氏が、2017年に発覚した米Equifaxの大規模な個人情報漏えい事件によって、改めてオープンソースソフトウェア(OOS)のリスクに注目が集まっていると指摘した。
レポートは、Black Duckが実施したオンデマンド監査の結果より得た知見をまとめたものだが、調査対象となったアプリケーションの96%にオープンソースのコンポーネントが組み込まれており、1つのアプリケーションでは平均257個も含まれているという。また、アプリケーションのコードベースに対するオープンソースの比率は前回調査で36%だったところ、今回の調査では57%に上昇しているという。
OSSの利用が拡大する背景には、企業が独自に開発するアプリケーションであっても、ライブラリやコンポーネントとしてOSS由来のコードが組み込まれており、しかも、その実態を正確に把握することが困難になっているという現実がある。
同氏はこうした状況によって生じるリスクとして、OSSに脆弱性が発見された場合、商用ソフトウェアの場合とは異なり、ベンダーがユーザーに対して注意喚起してくれるわけではなく、利用者側が自分の責任で情報収集を行うことが前提になると解説。このため、ユーザーがOSSを利用していることを自覚していない場合には、脆弱性への対応も行われずに放置される可能性が高いと指摘した。他にも、無自覚な利用の結果、OSSごとに定められているライセンス条件に違反してしまっている例が多いこともリスクとして指摘している。
コードベースでの脆弱性は1年で134%増加したという(出典:Synopsys)
実際に、Equifaxの情報漏えいの原因とされるApache Strutsの脆弱性が、事件発覚後もそのまま放置されている例が相当数見つかっている。これは、Apache Strutsを組み込んだ調査対象コードベースのうち33%になるといい、企業内アプリケーションのコードベースにOSSがどの程度含まれているかの把握することがいかに困難であるかを裏付けている。
最終的には同社が提供するサービスを前提として、膨大なコードベースの中からOSSベースのコードを見つけ出す可視化や、公表されている脆弱性の影響範囲を明確化するソフトウェア・コンポジション解析といった対策の重要性が強調された。だが現在では、公開APIを介して既存コードの機能を呼び出すことでアプリケーション開発を迅速化する手法が普及しており、アプリケーションのどこでどのようなコードを実行しているのか、開発の当事者であっても全容を把握することが困難になっていることは間違いない。
OSSを多用するIoTにも脆弱性リスクが存在する(出典:Synopsys)
こうした状況においてセキュリティ・リスクをどうコントロールするか、企業としても検討しておく必要があるだろう。
