利用しているOSSの実態を適切に把握することは、なぜ重要なのか。“知らないうちに使っていたOSS”によるトラブルを招かないための、適切な「棚卸し」の方法を探る。
OSS(オープンソースソフトウェア)は、IT分野のさまざまなところで活躍している。Webブラウザにも、文書作成や表計算のソフトウェアにもOSSは使われている。自社が開発する製品やサービスにOSSを組み込む企業もある。
企業がOSSを管理し、セキュリティリスクを把握するには、利用しているOSSの種類や数を確認する「棚卸し」が重要だ。例えば製造業は古くから、製品の製造に必要な部品の棚卸しを実施し、部品表を作成して管理してきた。これと同様に、OSSの棚卸しも必要だと筆者は考えている。その理由を詳細に説明しよう。
OSSの棚卸しが必要になる理由は複数ある。何より重要なこととして、脆弱(ぜいじゃく)性対策を講じる際に、OSSの棚卸しができているかどうかが鍵を握る。この連載の第1回「知らないと危険な『OSSのリスク』 “脆弱性祭り”への対処法とは?」でお伝えした通り、脆弱性が公開されてから数時間で、攻撃による被害が発生する実例がある。見つかった脆弱性がOSSに起因するものであれば、いち早く脆弱性対策を講じなければならない。自社のどの製品やサービスに脆弱性が影響するのかを見極めるには、OSSの棚卸しが必要になる。
コンプライアンス(法令順守)を徹底することも、OSSの棚卸しの重要な目的だ。自社の製品やサービスにOSSを利用する場合、OSSライセンスの利用許諾条件を順守しなければ著作権法違反になる。そうなると、訴訟になるリスクが発生する。企業は「どの製品やサービス」の「どのバージョン」に「何のOSS」が使われていて、そのOSSの利用許諾条件を順守しているかどうかを確認する必要がある。
製品やサービスの開発中には、OSSの不具合に対処することが必要だ。基本的にOSSの利用は自己責任となる。ただしOSSに不具合が存在した場合は、OSSコミュニティーが不具合を修正してパッチ(修正プログラム)を提供したり、バージョンアップを実施したりすることがある。このような動きに迅速に追随するためにも、やはりOSSの棚卸しが必要になる。
開発する製品やサービスの規模が小さく、数が限られるのであれば、「Microsoft Excel」をはじめとした表計算ソフトウェアを用いて、手動でOSSの棚卸しを実施することが選択肢となる。ただし長期的な視点で考えると、手動で棚卸しをすることはお勧めしない。工数が膨れ上がってしまうからだ。Synopsysの「Black Duck」といった、OSS棚卸し機能を備えたツールを持っている企業は、その利用を検討するとよい。
近年は「PSIRT」を中心とした活動に取り組む企業がある。PSIRTは「Product Security Incident Response Team」の略で、製品やサービスにおける脆弱性マネジメントを担う組織のことだ。製品やサービスに含まれるOSSも、PSIRTの管理対象となる。種類は豊富ではないが、PSIRTに特化したツールが幾つか存在する。PSIRTの詳細については、FIRST(Forum of Incident Response and Security Teams)という団体がガイドライン「PSIRT Service Framework」を発行しているので参考にしてほしい。
第4回は、OSSの棚卸しの切り札として、“ソフトウェアの部品表”である「SBOM」(Software Bill Of Materials)を取り上げる。
2010年からベンチャー系開発企業で組み込み系ブラウザエンジンの品質保証業務に従事。2016年、ベリサーブ入社(現職)。OSSのリスク管理サービスを担当している。他にも、セキュリティに関するコンサルティングや脅威分析、脆弱性診断に携わる。社外では、ソフトウェアテストのワークショップを開催する若手コミュニティー「WACATE」の実行委員として活動中。
高齢男性はレジ待ちが苦手、女性は待たないためにアプリを活用――アイリッジ調査
実店舗を持つ企業が「アプリでどのようなユーザー体験を提供すべきか」を考えるヒントが...
IASがブランドセーフティーの計測を拡張 誤報に関するレポートを追加
IASは、ブランドセーフティーと適合性の計測ソリューションを拡張し、誤報とともに広告が...
【Googleが公式見解を発表】中古ドメインを絶対に使ってはいけない理由とは?
Googleが中古ドメインの不正利用を禁止を公式に発表しました。その理由や今後の対応につ...
ITmediaはアイティメディア株式会社の登録商標です。
