「ゼロCVE」信仰に潜む死角 OSSの真の安全を実現する評価手法とは？：脆弱性スキャンだけでは見抜けない問題

コンテナイメージの「脆弱性ゼロ」を過信してはいけない。OSSの見落とされがちなリスクを指摘し、健全性を評価する具体的なツールと、根本的な安全確保の道筋を解説する。

[TechTargetジャパン]

　ソフトウェア開発の現場において、オープンソースソフトウェア（OSS）の活用は欠かせない。一方で、各国の政府機関によるサイバー政策の推進やコンプライアンス要件の高まりを受け、企業は自社の製品やシステムにおける脆弱（ぜいじゃく）性の排除に追われている。そのため、スキャンツールが報告する「CVE（共通脆弱性識別子）ゼロ」の達成は、開発現場にとって至上命令になりつつある。

　しかし、スキャン結果をゼロにすることだけに固執すると、別の深刻な脅威を見落とす危険性がある。OSSには、脆弱性の有無だけではなく、表からは見えにくいリスクが潜んでいるからだ。開発現場は手っ取り早く安全を得るために、ベンダーが提供する「脆弱性ゼロ」のコンテナイメージを購入しがちだ。しかし、OSSの根本的な問題を放置したままでは、プロジェクト自体が消滅した際に対処する手段がなくなってしまう。

　こうした“ゼロCVE信仰”の落とし穴に対し、真のサプライチェーンの安全を確保するには、別の観点が求められる。OSSの健全性を見極め、企業がより安全にソフトウェアを導入するための具体的な評価指標やツールを解説する。

「脆弱性ゼロ」だけで安心できないのはなぜ？

併せて読みたいお薦め記事

OSSのリスクへの対処

• 知らないと危険な「OSSのリスク」　“脆弱性祭り”への対処法とは？
• 開発加速の裏でOSSの脆弱性が2倍に　AIによる“見えない依存関係”の恐怖

　本稿は、北米で開催されたクラウドネイティブ技術の祭典「KubeCon + CloudNativeCon North America 2025」におけるセッションの内容を基に解説する。対象となるのは、コンテナセキュリティに特化したコンサルティング企業であるControlPlaneのプリンシパルクラウドネイティブコンサルタント、ジョン・キェル氏のセッション「Safely Sourcing OSS - Beyond 0 CVEs」だ。

　キェル氏は、OSSを利用する企業が直面している課題を、架空のOSSプロジェクトの物語を通じて浮き彫りにした。優れたOSSプロジェクトであっても、企業からの過度なコンプライアンス要求や、機能追加の要望により、ボランティアとして活動する開発者は次第に疲弊していく。その結果、ベンダーが提供する「脆弱性ゼロ」のイメージに企業が依存してコミュニティーへの支援を怠ると、最終的にプロジェクトは崩壊し、利用企業自身が将来的な不利益を被ることになる。

　これを防ぐためには、単に脆弱性スキャンツールを走らせるだけでなく、OSSプロジェクトのガバナンスと透明性を客観的に評価する仕組みが必要となる。そのための手段として、クラウドネイティブ技術の推進を目的とする非営利団体CNCF（Cloud Native Computing Foundation）や、オープンソースのセキュリティ向上を目指す業界横断組織OpenSSF（Open Source Security Foundation）が技術や規格を推進している。

　具体的な評価手法の一つが、「SLSA」（Supply chain Levels for Software Artifacts）の活用だ。SLSAは、ソフトウェアが安全にビルドされ、改ざんされていないことを証明するための要件を定めた標準規格だ。これを利用することで、ビルド環境やソースコード管理の安全性を段階的に評価し、自社のサプライチェーンがどの程度成熟しているかを可視化できる。

　OpenSSFが提供する「Security Scorecards」も有効なツールとなる。これは、OSSプロジェクトのセキュリティの状況を自動的にチェックし、スコア化する仕組みだ。コードのレビュー工程やテストの網羅性、脆弱性報告への対処状況などが総合的に評価される。ただしキェル氏は、このツールを使って自身が開発に携わっていないプロジェクトを一方的に非難することは避けるべきだと警告している。あくまで、プロジェクトの現在の状態を正しく理解し、支援が必要な箇所を特定するための指標として用いるのが適切なアプローチだ。

　EU（欧州連合）が施行したデジタル製品のセキュリティ基準を定めた法律「サイバーレジリエンス法」（CRA）などに代表される各国の厳しい規制に対しては、「Security Insights」と呼ばれる仕様が役立つ。これは、ソフトウェアの構成要素を一覧化したSBOM（ソフトウェア部品表）やライセンス情報、セキュリティの運用方針などのメタデータを、機械可読な形式で提供する仕組みだ。企業は、OSSの開発者に膨大なアンケートを送り付ける代わりに、このファイルを読み込むことで必要なコンプライアンス情報を容易に取得できるようになる。

　CNCF内でセキュリティやコンプライアンスに関する技術的助言を行うグループ「TAG Security」は、プロジェクト自身が脅威モデルを構築し、リスクを把握するための自己評価ガイドラインや、サプライチェーンに関するベストプラクティスを公開している。これらを取り入れることで、企業とOSSプロジェクトが共通の認識を持ち、安全性を高めるための具体的な対話を進める基盤が整う。

　真の意味で安全なソフトウェアサプライチェーンを構築するための最良の手段は、利用しているOSSプロジェクトに自ら貢献することに他ならない。ベンダーが提供する検証済みのイメージを利用すること自体は悪いことではないが、技術的負債を根本から解消するためには、コミュニティーへの直接的な投資と支援が不可欠だ。OSSは人間によって作られ、維持されているという事実を忘れてはならない。

本稿は、CNCFが2025年11月25日に公開した動画「Sponsored Keynote: Anchoring Trust in the Age of AI - Yuan Tang & Anjali Telang」を基に作成しました。