ブラックダック、2017版OSSセキュリティとリスク分析レポート オープンソースソフトウェア脆弱性と管理の重要性

オープンソースソフトウェア(OSS)の安全性確保と管理の自動化ソリューションの分野で世界最大手のブラック・ダック・ソフトウェアは『2017年度版オープンソースセキュリティ&リスク分析レポート(OSSRA 2017)』を公開。製造、工場生産、ロボティクス業界におけるアプリケーション当たりの脆弱性の数は34.9件で、アプリケーションの6割にリスクが高い脆弱性を含むとし、利用を推奨する反面、その管理とセキュリティ対策の重要性を訴えた。
bds2

業務アプリの99%がOSSを利用。うち67%に脆弱性

ブラック・ダック・ソフトウェアは、5月19日都内で会見し、『2017年度版オープンソースセキュリティ&リスク分析レポート(OSSRA 2017)』について説明した。同社は、毎年、企業の合併吸収に関連する数百のオープンソースコードの監査を実施し、本報告書は、Black Duckのオープンソースリサーチ&イノベーションセンター(COSRI)が2016年に行ったオープンソースソフトウェア(OSS)の監査結果をまとめたもの。調査対象となったのは、2016年に監査を行った15業種440社の1071件の業務アプリで、そのうち96%がOSSを利用し、そのうちの67%に脆弱性が含まれていたという。
製造、工場生産、ロボティクス業界におけるアプリケーション当たりの脆弱性の数は、34.9件で、アプリケーションの6割にリスクが高い脆弱性を含むことが報告された。
ブラック・ダックセキュリティストラテジ担当副社長のマイク・ピッテンジャー氏は「OSS利用が増え、依存度がますます高まる中、システムを常に監視し、バグを検知・修正する必要がある。この3年だけでも1万件を超えて発生する脆弱性を手作業で把握するのは困難。前週のランサムウエア(WannaCry)の騒ぎで、パッチ適用の重要性は明らかだ」と指摘した。
bds

1アプリケーションあたり147のOSSを利用。気付かず使っている例も

1つの業務アプリケーションに含まれるOSSのコンポーネントの平均は、147件。ユーザーが把握しているコンポーネントは45%で、残りの55%は、OSSであるという認識がないまま使っているという。
深刻な脆弱性を持つコンポーネントでは、Apache HTTP Server(13.8%)、Apache Commons Collections(11.8%)、Apache Tomcat(10.1%)などが上位を占めた。
分析したアプリケーションでもっとも危険なコンポーネントとして確認されたのは、Linux Kernel v.2.6.27.7、PHP v4.0.0、.NET Framework v1.1、Ruby on Rails v.3.2.0、Python v2.7など。Linux Kernel v.2.6.27.7の場合、脆弱性総数293の内、73が「ハイリスクな脆弱性」であることが報告された。

アプリケーションの85%がOSSのライセンス違反のコンポーネントを使用

また、オープンソースライセンスにはライセンスへの抵触が広く確認された。監査したアプリケーションには平均して147のオープンソースコンポーネントが含まれ、監査したアプリケーションの85%にはライセンスに抵触しているコンポーネントが含まれていることが明らかにされた。多かったのはGPLライセンスの違反で、75%のアプリケーションに、GPLライセンスファミリーに属するコンポーネントが含まれて、GPLの制約に適合していたのはわずか45%にすぎなかった。

開発効率、イノベーション加速に有効なOSS。一方でセキュリティリスクも

Black Duck、CEOのLou Shipleyは、
「オープンソース利用は世界中に広がっています。今日のアプリのコードの80~90%がオープンソースであることが最新の研究報告で明らかになっています。オープンソースには、開発コストを下げ、イノベーションを加速し、開発期間を短縮できるというメリット・価値があることを考えれば、この数字は当然といえるでしょう。当社の監査によって普遍的な利用が確認されると同時に、オープンソースのセキュリティ脆弱性およびライセンスコンプライアンスの問題に関連するリスクへの対策が期待するほど効果がないことも明らかになりました。アプリケーション層がハッカーの主な標的であることから、監査での発見がセキュリティ責任者にとって『気づき』となることを期待しています。オープンソース脆弱性のエクスプロイトは、多くの企業が抱えるアプリケーションの最大のセキュリティリスクです」
と語っている。
参考:ブラックダックソフトウェア(BlackDuck Software)