「入れた覚えのないOSS」問題が招く“あのリスク”の怖さと「棚卸し」の大切さOSSとの「上手な付き合い方」【第3回】

利用しているOSSの実態を適切に把握することは、なぜ重要なのか。“知らないうちに使っていたOSS”によるトラブルを招かないための、適切な「棚卸し」の方法を探る。

2022年12月16日 05時00分 公開
[藤原洋平ベリサーブ]

関連キーワード

OSS | 脆弱性対策 | セキュリティ


 OSS(オープンソースソフトウェア)は、IT分野のさまざまなところで活躍している。Webブラウザにも、文書作成や表計算のソフトウェアにもOSSは使われている。自社が開発する製品やサービスにOSSを組み込む企業もある。

 企業がOSSを管理し、セキュリティリスクを把握するには、利用しているOSSの種類や数を確認する「棚卸し」が重要だ。例えば製造業は古くから、製品の製造に必要な部品の棚卸しを実施し、部品表を作成して管理してきた。これと同様に、OSSの棚卸しも必要だと筆者は考えている。その理由を詳細に説明しよう。

なぜOSSの棚卸しが必要なのか 具体的な方法とは?

会員登録(無料)が必要です

 OSSの棚卸しが必要になる理由は複数ある。何より重要なこととして、脆弱(ぜいじゃく)性対策を講じる際に、OSSの棚卸しができているかどうかが鍵を握る。この連載の第1回「知らないと危険な『OSSのリスク』 “脆弱性祭り”への対処法とは?」でお伝えした通り、脆弱性が公開されてから数時間で、攻撃による被害が発生する実例がある。見つかった脆弱性がOSSに起因するものであれば、いち早く脆弱性対策を講じなければならない。自社のどの製品やサービスに脆弱性が影響するのかを見極めるには、OSSの棚卸しが必要になる。

 コンプライアンス(法令順守)を徹底することも、OSSの棚卸しの重要な目的だ。自社の製品やサービスにOSSを利用する場合、OSSライセンスの利用許諾条件を順守しなければ著作権法違反になる。そうなると、訴訟になるリスクが発生する。企業は「どの製品やサービス」の「どのバージョン」に「何のOSS」が使われていて、そのOSSの利用許諾条件を順守しているかどうかを確認する必要がある。

 製品やサービスの開発中には、OSSの不具合に対処することが必要だ。基本的にOSSの利用は自己責任となる。ただしOSSに不具合が存在した場合は、OSSコミュニティーが不具合を修正してパッチ(修正プログラム)を提供したり、バージョンアップを実施したりすることがある。このような動きに迅速に追随するためにも、やはりOSSの棚卸しが必要になる。

OSSの棚卸しの方法

 開発する製品やサービスの規模が小さく、数が限られるのであれば、「Microsoft Excel」をはじめとした表計算ソフトウェアを用いて、手動でOSSの棚卸しを実施することが選択肢となる。ただし長期的な視点で考えると、手動で棚卸しをすることはお勧めしない。工数が膨れ上がってしまうからだ。Synopsysの「Black Duck」といった、OSS棚卸し機能を備えたツールを持っている企業は、その利用を検討するとよい。

コラム:OSSは「PSIRT」の管理対象に

 近年は「PSIRT」を中心とした活動に取り組む企業がある。PSIRTは「Product Security Incident Response Team」の略で、製品やサービスにおける脆弱性マネジメントを担う組織のことだ。製品やサービスに含まれるOSSも、PSIRTの管理対象となる。種類は豊富ではないが、PSIRTに特化したツールが幾つか存在する。PSIRTの詳細については、FIRST(Forum of Incident Response and Security Teams)という団体がガイドライン「PSIRT Service Framework」を発行しているので参考にしてほしい。


 第4回は、OSSの棚卸しの切り札として、“ソフトウェアの部品表”である「SBOM」(Software Bill Of Materials)を取り上げる。

著者紹介

藤原洋平(ふじわら・ようへい) ベリサーブ

藤原氏

2010年からベンチャー系開発企業で組み込み系ブラウザエンジンの品質保証業務に従事。2016年、ベリサーブ入社(現職)。OSSのリスク管理サービスを担当している。他にも、セキュリティに関するコンサルティングや脅威分析、脆弱性診断に携わる。社外では、ソフトウェアテストのワークショップを開催する若手コミュニティー「WACATE」の実行委員として活動中。


Copyright © ITmedia, Inc. All Rights Reserved.

新着ホワイトペーパー

製品資料 フォーティネットジャパン合同会社

費用対効果の高いセキュリティ製品をどう見極める? 5つの組織の例に学ぶ

データセンターにおいて、NGFWやマルウェア対策といったセキュリティ製品の導入は不可欠だが、選定を誤ると非効率な運用プロセスや高いコストに悩まされることとなる。5つの組織の例から、費用対効果の高い製品を見極めるコツを探る。

製品レビュー サイオステクノロジー株式会社

マンガで分かる:クラウドシステムの障害対策でユーザーが考慮すべきポイント

ダウンタイムが許されない基幹系システムやデータベースをクラウドに展開している場合、システムの障害対策をベンダー任せにすることは危険だ。本資料では、その理由を解説するとともに、クラウドの障害対策を実施する方法を紹介する。

製品資料 Absolute Software株式会社

サイバーレジリエンスがなぜ今重要? 調査で知るエンドポイントの3大リスク

エンドポイントがサイバー攻撃の対象となるケースも増えている今、企業にはどのような対策が必要なのか。2024年に実施された調査の結果を基に、3つの重大なリスク要因と、その解決策としてサイバーレジリエンスが重要な理由を解説する。

製品資料 東京エレクトロン デバイス株式会社

クラウドセキュリティを強化する注目手法、WAAPとCNAPPを組み合わせるメリット

マルチクラウド化が進み、アプリケーションとインフラを効率的に保護する手法が求められる昨今。そこで注目したいのが、WAAP(Web Application and API Protection)とCNAPP(Cloud Native Application Protection Platform)の活用だ。

製品資料 LRM株式会社

標的型攻撃が増加傾向、“攻撃を受けても情報が漏れない”仕組みづくりが重要に

標的型攻撃は主にメールで行われ、企業側が気を付けていても防ぎきれないケースがある。そのため、対策には検知・防御だけでなく、“攻撃を受けても情報が漏れない”仕組み作りが重要であり、各従業員のITリテラシー向上が不可欠だ。

From Informa TechTarget

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。

ITmedia マーケティング新着記事

news025.png

「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。

news014.png

「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。

news046.png

「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。