「入れた覚えのないOSS」問題が招く“あのリスク”の怖さと「棚卸し」の大切さ：OSSとの「上手な付き合い方」【第3回】

利用しているOSSの実態を適切に把握することは、なぜ重要なのか。“知らないうちに使っていたOSS”によるトラブルを招かないための、適切な「棚卸し」の方法を探る。

≫ 2022年12月16日 05時00分公開

[藤原洋平，ベリサーブ]

なぜOSSの棚卸しが必要なのか　具体的な方法とは？

併せて読みたいお薦め記事

連載：OSSとの「上手な付き合い方」

OSSの知識を深めるには

　OSSの棚卸しが必要になる理由は複数ある。何より重要なこととして、脆弱（ぜいじゃく）性対策を講じる際に、OSSの棚卸しができているかどうかが鍵を握る。この連載の第1回「知らないと危険な『OSSのリスク』　“脆弱性祭り”への対処法とは？」でお伝えした通り、脆弱性が公開されてから数時間で、攻撃による被害が発生する実例がある。見つかった脆弱性がOSSに起因するものであれば、いち早く脆弱性対策を講じなければならない。自社のどの製品やサービスに脆弱性が影響するのかを見極めるには、OSSの棚卸しが必要になる。

　コンプライアンス（法令順守）を徹底することも、OSSの棚卸しの重要な目的だ。自社の製品やサービスにOSSを利用する場合、OSSライセンスの利用許諾条件を順守しなければ著作権法違反になる。そうなると、訴訟になるリスクが発生する。企業は「どの製品やサービス」の「どのバージョン」に「何のOSS」が使われていて、そのOSSの利用許諾条件を順守しているかどうかを確認する必要がある。

　製品やサービスの開発中には、OSSの不具合に対処することが必要だ。基本的にOSSの利用は自己責任となる。ただしOSSに不具合が存在した場合は、OSSコミュニティーが不具合を修正してパッチ（修正プログラム）を提供したり、バージョンアップを実施したりすることがある。このような動きに迅速に追随するためにも、やはりOSSの棚卸しが必要になる。

OSSの棚卸しの方法

　開発する製品やサービスの規模が小さく、数が限られるのであれば、「Microsoft Excel」をはじめとした表計算ソフトウェアを用いて、手動でOSSの棚卸しを実施することが選択肢となる。ただし長期的な視点で考えると、手動で棚卸しをすることはお勧めしない。工数が膨れ上がってしまうからだ。Synopsysの「Black Duck」といった、OSS棚卸し機能を備えたツールを持っている企業は、その利用を検討するとよい。

コラム：OSSは「PSIRT」の管理対象に

　近年は「PSIRT」を中心とした活動に取り組む企業がある。PSIRTは「Product Security Incident Response Team」の略で、製品やサービスにおける脆弱性マネジメントを担う組織のことだ。製品やサービスに含まれるOSSも、PSIRTの管理対象となる。種類は豊富ではないが、PSIRTに特化したツールが幾つか存在する。PSIRTの詳細については、FIRST（Forum of Incident Response and Security Teams）という団体がガイドライン「PSIRT Service Framework」を発行しているので参考にしてほしい。

　第4回は、OSSの棚卸しの切り札として、“ソフトウェアの部品表”である「SBOM」（Software Bill Of Materials）を取り上げる。

著者紹介

藤原洋平（ふじわら・ようへい）　ベリサーブ

2010年からベンチャー系開発企業で組み込み系ブラウザエンジンの品質保証業務に従事。2016年、ベリサーブ入社（現職）。OSSのリスク管理サービスを担当している。他にも、セキュリティに関するコンサルティングや脅威分析、脆弱性診断に携わる。社外では、ソフトウェアテストのワークショップを開催する若手コミュニティー「WACATE」の実行委員として活動中。

TechTargetジャパントップセキュリティ