「omni7」などのシステム開発に携わるセブン&アイ・ネットメディアは、脆弱性チェックツールを採用し、オープンソースも含む網羅的なセキュリティ対策に取り組んでいる。
Webサービスやスマートフォン向けアプリの開発をする際にも高品質、短納期の開発が求められており、顧客が望む機能をスピーディーに実現するには、オープンソースソフトウェア(OSS)の利用が不可欠だ。
日本シノプシスの調査「2018 Open Source Security and Risk Analysisレポート」によると、何らかの形でオープンソースのコンポーネントを利用している商用ソフトウェアの割合は96%に上る。ソースコードベースでみると、オープンソースが含まれる割合は実に57%に達し、自社開発コードよりも多い結果だ。
一方で問題となるのが、OSSに存在する脆弱(ぜいじゃく)性への対応だ。過去に発生した幾つかのセキュリティインシデントからも、OSSがはらむリスクは明らかだ。数年前、OpenSSLで発覚したHeartbleedの脆弱性は多数のWebサイトに影響を及ぼし、この脆弱性を悪用した攻撃・情報漏えいがいまだに報告されている。2017年にApache Struts2に発覚した脆弱性は数日足らずで攻撃に悪用され、国内でも複数のWebサイトが被害を受けた。
開発工数の削減や高機能の実現を考えるとOSSを利用しない手はないが、脆弱性によって被害を受ける恐れも少なくない。セブン-イレブンやイトーヨーカドーなど多様な業態にまたがり、世界18カ国に約6万7000店舗、日本国内だけでも約2万2000店舗を展開している流通大手のセブン&アイグループは、この問題にどう取り組んだのだろうか。同グループのITシステムを担うセブン&アイ・ネットメディアに聞いた。
Copyright © ITmedia, Inc. All Rights Reserved.
提供:日本シノプシス合同会社
アイティメディア営業企画/制作:TechTargetジャパン編集部