企画広告

技術者のおもちゃから重要な社会基盤に 国内ベンダーのトップが語るOSSの四半世紀とこれから SRA OSS稲葉氏×ベリサーブ武田氏対談 - (page 2)

ZDNET Japan Ad Special

2023-03-13 13:00

“OSSだから脆弱”というミスリードに困惑

武田氏:現在のOSSの課題について伺います。まず挙げられるのが、何度か社会的事件にもなっているOSSの脆弱性問題です。世の中的には、OpenSSL(Hartbleed)、Log4j(Log4Shell)等の大きな脆弱性が発覚するたびに、それを「OSSの脆弱性」と報道します。そのため、OSSだから脆弱だという論調が含まれることがありますが、実際は商用ソフトにも当然のように脆弱性はあるし何もOSSに限った話ではない。だから私は事件が起きるたびにOSSだから脆弱なのではないとIT系のメディアの寄稿指摘しているんですけど、このようなOSSの脆弱性が稲葉さんに何か影響は及んでいませんか?

稲葉氏:Log4jの時は、本当にたくさんの問い合わせがありましたね。Log4jは我々のサポート対象ソフトウェアではなかったのですが、影響範囲が大きくまとめサイトを作って情報を掲載するなどの対応を行いました。お問い合わせ対応が大変でしたが、OSSを使っていただく上で不安を払しょくするのが、OSSサービスベンダーが担う役割の1つだと思っています。

武田氏:ほかにセキュリティや脆弱性に限らず、今のOSSに対して課題意識はありますか?

稲葉氏:気になるという意味では、OSSのエコサイクルについて考えますね。OSSは無料で使えるけど誰かがリソースを割いて作っている訳ですから。

武田氏:誰かの功績にフリーライドしているだけではなく、積極的にフィードバックをしましょうよと。

稲葉氏:我々はビジネスとしてOSSを使わせていただいているという認識なので、コミュニティにユーザーレポートを上げ、開発自体にもできる限り貢献し、普及促進活動もビジネスの一環に取り入れています。ただ我々だけでは力が足りません。そういうサイクルが回っていかないと、OSSも長く皆様に安心して使っていただけないと危惧しています。

武田氏:私がちょっと問題だと感じているのが、OSSの構成管理です。製造業のお客様の話なのですが、自分たちの製品がどんどんIT化していく中でOSSが組み込まれるようになっているんです。情報家電や自動車なんて、今やその中はITで出来ています。製造業は、元々のPL法対応意識があります。そして、米国発のセキュリティ基準への対応が必要になってきたたことでOSSの構成管理を厳格にする必要が出てきました。これは最近バズワードになり始めた「SBOM」と言われるものの一部で、部品化されたOSS管理が最大のポイントとなっています。それに対して、企業の情報システム部門は、製造業の開発部門ほどの意識はまだない。SRA OSSのお客様には、情報システム部門でもOSSの厳格な管理をしたいという要望は来ていませんか?

稲葉氏:関連する問い合わせが少し出始めていますが、厳格な管理を行いさらに活用しているという会社は、まだあまり聞きません。ベリサーブではそういうコンサルもやっているんですか?

武田氏:やっています。SBOMの運用プロセスの確立から定期的なOSS混入検査もしています。現時点では、まだセキュリティ市場での常識とまではなっていませんが、脆弱性を突く攻撃はシステムにとって致命傷になることが少なくないので、近い将来にはそうなる可能性は高いと思っています。

エコサイクルをうまく回し続けることが大切

武田氏:デジタル化の加速に比例してさらにOSSの重要性が増していくと思われますが、最後に今後のSRA OSSやOSS分野がどうなっていくか、見解を伺いたいです。

稲葉氏:先程お話しした通り、OSSを安定的に使っていくためにエコサイクルがどう回っていくか、皆様が意識できるようになるといいと思います。PostgreSQLについては、以前は儲かっている会社がコミュニティに還元していないと非難されていた時期もあったのですが、最近はAmazonをはじめクラウドサービスベンダーがオープンソースをうまく活用してビジネスを拡大させつつ、コミュニティにフィードバックしてくれて、いい流れになっていると感じています。

武田氏:Amazonもそうだし、マイクロソフトもOSSに貢献しているとメッセージを出していますね。その昔のOSSと敵対関係に近かった頃を知っている人間としては複雑ですが(笑)

稲葉氏:かつては安いから使うという話が多かったのですが、今はOSSからイノベーションが起きる流れが生まれています。これからも新しい技術がOSSから出てくることが期待できるのではないでしょうか。

武田氏:最近、web上でAIと文字で会話する「ChatGPT」がはやっていますが、あれもオープンソースというかフリーソフトですよね。ああいうものが出てくると、いつの間にか世の中全体に新しい技術の活用法が認識されるようになる。

稲葉氏:OSSもそんな形で展開できれば早く広まりますよね。

武田氏:本当はAIが優れたOSSをガンガン開発してくれるといいんですけど(笑)。でも、AIでOSSを開発するという道は本当にあるかもしれない。お互いに自由に使えるものであり、相性はいいはずですし。

稲葉氏:それによってOSSがもう一段階進化し、さらに、そのサイクルが繰り返されることによってどんどんイノベーションが進んでいく――そんな未来に期待したいですね。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    警察把握分だけで年間4000件発生、IPA10大脅威の常連「標的型攻撃」を正しく知る用語集

  2. セキュリティ

    まずは“交渉術”を磨くこと!情報セキュリティ担当者の使命を果たすための必須事項とは

  3. セキュリティ

    「2024年版脅威ハンティングレポート」より—アジアでサイバー攻撃の標的になりやすい業界とは?

  4. ビジネスアプリケーション

    Microsoft 365で全てを完結しない選択、サイボウズが提示するGaroonとの連携による効果

  5. セキュリティ

    生成AIを利用した標的型攻撃とはどのようなものなのか?実態を明らかにして効果的な対策を考える

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]