利用しているOSSの実態を適切に把握することは、なぜ重要なのか。“知らないうちに使っていたOSS”によるトラブルを招かないための、適切な「棚卸し」の方法を探る。
OSS(オープンソースソフトウェア)は、IT分野のさまざまなところで活躍している。Webブラウザにも、文書作成や表計算のソフトウェアにもOSSは使われている。自社が開発する製品やサービスにOSSを組み込む企業もある。
企業がOSSを管理し、セキュリティリスクを把握するには、利用しているOSSの種類や数を確認する「棚卸し」が重要だ。例えば製造業は古くから、製品の製造に必要な部品の棚卸しを実施し、部品表を作成して管理してきた。これと同様に、OSSの棚卸しも必要だと筆者は考えている。その理由を詳細に説明しよう。
OSSの棚卸しが必要になる理由は複数ある。何より重要なこととして、脆弱(ぜいじゃく)性対策を講じる際に、OSSの棚卸しができているかどうかが鍵を握る。この連載の第1回「知らないと危険な『OSSのリスク』 “脆弱性祭り”への対処法とは?」でお伝えした通り、脆弱性が公開されてから数時間で、攻撃による被害が発生する実例がある。見つかった脆弱性がOSSに起因するものであれば、いち早く脆弱性対策を講じなければならない。自社のどの製品やサービスに脆弱性が影響するのかを見極めるには、OSSの棚卸しが必要になる。
コンプライアンス(法令順守)を徹底することも、OSSの棚卸しの重要な目的だ。自社の製品やサービスにOSSを利用する場合、OSSライセンスの利用許諾条件を順守しなければ著作権法違反になる。そうなると、訴訟になるリスクが発生する。企業は「どの製品やサービス」の「どのバージョン」に「何のOSS」が使われていて、そのOSSの利用許諾条件を順守しているかどうかを確認する必要がある。
製品やサービスの開発中には、OSSの不具合に対処することが必要だ。基本的にOSSの利用は自己責任となる。ただしOSSに不具合が存在した場合は、OSSコミュニティーが不具合を修正してパッチ(修正プログラム)を提供したり、バージョンアップを実施したりすることがある。このような動きに迅速に追随するためにも、やはりOSSの棚卸しが必要になる。
開発する製品やサービスの規模が小さく、数が限られるのであれば、「Microsoft Excel」をはじめとした表計算ソフトウェアを用いて、手動でOSSの棚卸しを実施することが選択肢となる。ただし長期的な視点で考えると、手動で棚卸しをすることはお勧めしない。工数が膨れ上がってしまうからだ。Synopsysの「Black Duck」といった、OSS棚卸し機能を備えたツールを持っている企業は、その利用を検討するとよい。
近年は「PSIRT」を中心とした活動に取り組む企業がある。PSIRTは「Product Security Incident Response Team」の略で、製品やサービスにおける脆弱性マネジメントを担う組織のことだ。製品やサービスに含まれるOSSも、PSIRTの管理対象となる。種類は豊富ではないが、PSIRTに特化したツールが幾つか存在する。PSIRTの詳細については、FIRST(Forum of Incident Response and Security Teams)という団体がガイドライン「PSIRT Service Framework」を発行しているので参考にしてほしい。
第4回は、OSSの棚卸しの切り札として、“ソフトウェアの部品表”である「SBOM」(Software Bill Of Materials)を取り上げる。
2010年からベンチャー系開発企業で組み込み系ブラウザエンジンの品質保証業務に従事。2016年、ベリサーブ入社(現職)。OSSのリスク管理サービスを担当している。他にも、セキュリティに関するコンサルティングや脅威分析、脆弱性診断に携わる。社外では、ソフトウェアテストのワークショップを開催する若手コミュニティー「WACATE」の実行委員として活動中。
Copyright © ITmedia, Inc. All Rights Reserved.
データセンターにおいて、NGFWやマルウェア対策といったセキュリティ製品の導入は不可欠だが、選定を誤ると非効率な運用プロセスや高いコストに悩まされることとなる。5つの組織の例から、費用対効果の高い製品を見極めるコツを探る。
ダウンタイムが許されない基幹系システムやデータベースをクラウドに展開している場合、システムの障害対策をベンダー任せにすることは危険だ。本資料では、その理由を解説するとともに、クラウドの障害対策を実施する方法を紹介する。
エンドポイントがサイバー攻撃の対象となるケースも増えている今、企業にはどのような対策が必要なのか。2024年に実施された調査の結果を基に、3つの重大なリスク要因と、その解決策としてサイバーレジリエンスが重要な理由を解説する。
マルチクラウド化が進み、アプリケーションとインフラを効率的に保護する手法が求められる昨今。そこで注目したいのが、WAAP(Web Application and API Protection)とCNAPP(Cloud Native Application Protection Platform)の活用だ。
標的型攻撃は主にメールで行われ、企業側が気を付けていても防ぎきれないケースがある。そのため、対策には検知・防御だけでなく、“攻撃を受けても情報が漏れない”仕組み作りが重要であり、各従業員のITリテラシー向上が不可欠だ。
ユーザー任せの「PCセキュリティ」はもう限界 “誰が使っても安全”な方法とは (2025/4/21)
数分でデータを人質に 進化するランサムウェアに有効な「第2世代EDR」とは (2025/3/4)
クラウドサービスの脆弱性をどう解消する? 安全な開発環境を構築するヒント (2025/3/4)
「複雑、高額、難しい」を変える中堅・中小向けSASEのメリットを解説 (2025/2/10)
「Box」に移行してもなくならない「お守り仕事」を根本から効率化するには? (2025/1/23)
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
ITmediaはアイティメディア株式会社の登録商標です。
