検索
特集/連載

「入れた覚えのないOSS」問題が招く“あのリスク”の怖さと「棚卸し」の大切さOSSとの「上手な付き合い方」【第3回】

利用しているOSSの実態を適切に把握することは、なぜ重要なのか。“知らないうちに使っていたOSS”によるトラブルを招かないための、適切な「棚卸し」の方法を探る。

PC用表示 関連情報
Share
Tweet
LINE
Hatena

関連キーワード

OSS | 脆弱性対策 | セキュリティ


 OSS(オープンソースソフトウェア)は、IT分野のさまざまなところで活躍している。Webブラウザにも、文書作成や表計算のソフトウェアにもOSSは使われている。自社が開発する製品やサービスにOSSを組み込む企業もある。

 企業がOSSを管理し、セキュリティリスクを把握するには、利用しているOSSの種類や数を確認する「棚卸し」が重要だ。例えば製造業は古くから、製品の製造に必要な部品の棚卸しを実施し、部品表を作成して管理してきた。これと同様に、OSSの棚卸しも必要だと筆者は考えている。その理由を詳細に説明しよう。

なぜOSSの棚卸しが必要なのか 具体的な方法とは?

 OSSの棚卸しが必要になる理由は複数ある。何より重要なこととして、脆弱(ぜいじゃく)性対策を講じる際に、OSSの棚卸しができているかどうかが鍵を握る。この連載の第1回「知らないと危険な『OSSのリスク』 “脆弱性祭り”への対処法とは?」でお伝えした通り、脆弱性が公開されてから数時間で、攻撃による被害が発生する実例がある。見つかった脆弱性がOSSに起因するものであれば、いち早く脆弱性対策を講じなければならない。自社のどの製品やサービスに脆弱性が影響するのかを見極めるには、OSSの棚卸しが必要になる。

 コンプライアンス(法令順守)を徹底することも、OSSの棚卸しの重要な目的だ。自社の製品やサービスにOSSを利用する場合、OSSライセンスの利用許諾条件を順守しなければ著作権法違反になる。そうなると、訴訟になるリスクが発生する。企業は「どの製品やサービス」の「どのバージョン」に「何のOSS」が使われていて、そのOSSの利用許諾条件を順守しているかどうかを確認する必要がある。

 製品やサービスの開発中には、OSSの不具合に対処することが必要だ。基本的にOSSの利用は自己責任となる。ただしOSSに不具合が存在した場合は、OSSコミュニティーが不具合を修正してパッチ(修正プログラム)を提供したり、バージョンアップを実施したりすることがある。このような動きに迅速に追随するためにも、やはりOSSの棚卸しが必要になる。

OSSの棚卸しの方法

 開発する製品やサービスの規模が小さく、数が限られるのであれば、「Microsoft Excel」をはじめとした表計算ソフトウェアを用いて、手動でOSSの棚卸しを実施することが選択肢となる。ただし長期的な視点で考えると、手動で棚卸しをすることはお勧めしない。工数が膨れ上がってしまうからだ。Synopsysの「Black Duck」といった、OSS棚卸し機能を備えたツールを持っている企業は、その利用を検討するとよい。

コラム:OSSは「PSIRT」の管理対象に

 近年は「PSIRT」を中心とした活動に取り組む企業がある。PSIRTは「Product Security Incident Response Team」の略で、製品やサービスにおける脆弱性マネジメントを担う組織のことだ。製品やサービスに含まれるOSSも、PSIRTの管理対象となる。種類は豊富ではないが、PSIRTに特化したツールが幾つか存在する。PSIRTの詳細については、FIRST(Forum of Incident Response and Security Teams)という団体がガイドライン「PSIRT Service Framework」を発行しているので参考にしてほしい。


 第4回は、OSSの棚卸しの切り札として、“ソフトウェアの部品表”である「SBOM」(Software Bill Of Materials)を取り上げる。

著者紹介

藤原洋平(ふじわら・ようへい) ベリサーブ

藤原氏

2010年からベンチャー系開発企業で組み込み系ブラウザエンジンの品質保証業務に従事。2016年、ベリサーブ入社(現職)。OSSのリスク管理サービスを担当している。他にも、セキュリティに関するコンサルティングや脅威分析、脆弱性診断に携わる。社外では、ソフトウェアテストのワークショップを開催する若手コミュニティー「WACATE」の実行委員として活動中。


Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る