ブラックダック、2017版OSSセキュリティとリスク分析レポート

オープンソースソフトウェア 脆弱性と管理の重要性

オープンソースソフトウェア(OSS)の安全性確保と管理の自動化ソリューションの分野で世界最大手のブラック・ダック・ソフトウェアは『2017年度版オープンソースセキュリティ&リスク分析レポート(OSSRA2017)』を公開。製造、工場生産、ロボティクス業界におけるアプリケーション当たりの脆弱性の数は34.9件で、アプリケーションの6割にリスクが高い脆弱性を含むとし、利用を推奨する半面、その管理とセキュリティ対策の重要性を訴えた。

業務アプリの99%がOSSを利用。うち67%に脆弱性

ブラック・ダック・ソフトウェアは、5月19日都内で会見し、『2017年度版オープンソースセキュリティ&リスク分析レポート(OSSRA2017)』について説明した。同社は、毎年、企業の合併吸収に関連する数百のオープンソースコードの監査を実施し、本報告書は、Black Duckのオープンソースリサーチ&イノベーションセンター(COSRI)が2016年に行ったオープンソースソフトウェア(OSS)の監査結果をまとめたもの。調査対象となったのは、16年に監査を行った15業種440社の1071件の業務アプリで、そのうち96%がOSSを利用し、そのうちの67%に脆弱性が含まれていたという。

製造、工場生産、ロボティクス業界におけるアプリケーション当たりの脆弱性の数は、34.9件で、アプリケーションの6割にリスクが高い脆弱性を含むことが報告された。

ブラック・ダックセキュリティストラテジ担当副社長のマイク・ピッテンジャー氏は「OSS利用が増え、依存度がますます高まる中、システムを常に監視し、バグを検知・修正する必要がある。この3年だけでも1万件を超えて発生する脆弱性を手作業で把握するのは困難。前週のランサムウエア(WannaCry)の騒ぎで、パッチ適用の重要性は明らかだ」と指摘した。

1アプリケーションあたり147のOSSを利用。気付かず使っている例も

1つの業務アプリケーションに含まれるOSSのコンポーネントの平均は、147件。ユーザーが把握しているコンポーネントは45%で、残りの55%は、OSSであるという認識がないまま使っているという。

深刻な脆弱性を持つコンポーネントでは、Apache HTTP Server(13.8%)、Apache Commons Collections(11.8%)、Apache Tomcat(10.1%)などが上位を占めた。

分析したアプリケーションで最も危険なコンポーネントとして確認されたのは、Linux
Kernel v2.6.27.7、PHP v4.0.0、.NET Framework v1.1、Ruby on Rails v3.2.0、Python v2.7など。Linux Kernel v2.6.27.7の場合、脆弱性総数293のうち73が「ハイリスクな脆弱性」であることが報告された。

アプリケーションの85%がOSSのライセンス違反のコンポーネントを使用

また、オープンソースライセンスにはライセンスへの抵触が広く確認された。監査したアプリケーションには平均して147のオープンソースコンポーネントが含まれ、監査したアプリケーションの85%にはライセンスに抵触しているコンポーネントが含まれていることが明らかにされた。多かったのはGPLライセンスの違反で、75%のアプリケーションに、GPLライセンスファミリーに属するコンポーネントが含まれて、GPLの制約に適合していたのはわずか45%にすぎなかった。

開発効率、イノベーション加速に有効なOSS。一方でセキュリティリスクも

Black Duck、CEOのLou Shipleyは、「オープンソース利用は世界中に広がっています。今日のアプリのコードの80~90%がオープンソースであることが最新の研究報告で明らかになっています。オープンソースには、開発コストを下げ、イノベーションを加速し、開発期間を短縮できるというメリット・価値があることを考えれば、この数字は当然といえるでしょう。当社の監査によって普遍的な利用が確認されると同時に、オープンソースのセキュリティ脆弱性およびライセンスコンプライアンスの問題に関連するリスクへの対策が期待するほど効果がないことも明らかになりました。アプリケーション層がハッカーの主な標的であることから、監査での発見がセキュリティ責任者にとって『気づき』となることを期待しています。オープンソース脆弱性のエクスプロイトは、多くの企業が抱えるアプリケーションの最大のセキュリティリスクです」と語っている。

オートメーション新聞は、1976年の発行開始以来、45年超にわたって製造業界で働く人々を応援してきたものづくり業界専門メディアです。工場や製造現場、生産設備におけるFAや自動化、ロボットや制御技術・製品のトピックスを中心に、IoTやスマートファクトリー、製造業DX等に関する情報を発信しています。新聞とPDF電子版は月3回の発行、WEBとTwitterは随時更新しています。

購読料は、法人企業向けは年間3万円(税抜)、個人向けは年間6000円(税抜)。個人プランの場合、月額500円で定期的に業界の情報を手に入れることができます。ぜひご検討ください。

オートメーション新聞/ものづくり.jp Twitterでは、最新ニュースのほか、展示会レポートや日々の取材こぼれ話などをお届けしています
>FA・自動化、デジタル化、製造業の今をお届けする ものづくり業界専門メディア「オートメーション新聞」

FA・自動化、デジタル化、製造業の今をお届けする ものづくり業界専門メディア「オートメーション新聞」

オートメーション新聞は、45年以上の歴史を持つ製造業・ものづくり業界の専門メディアです。製造業DXやデジタル化、FA・自動化、スマートファクトリーに向けた動きなど、製造業各社と市場の動きをお伝えします。年間購読は、個人向けプラン6600円、法人向けプラン3万3000円

CTR IMG