OSSに潜在する訴訟・脆弱性リスク | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.11.20(火)

OSSに潜在する訴訟・脆弱性リスク

2017年には、機内娯楽サービスの会社がPanasonic Avionicsに対して1億ドルの訴訟を起こした。

脆弱性と脅威 脅威動向
ある企業が自社システムにはオープンソースソフトウェア(OSS)を使っていないと考えていた。しかし、業務アプリを3つ任意に調べたところ、約400件のOSSコンポーネントが存在し、その中に286件の脆弱性が発見された。脆弱性には、3年前に大きな話題となったHeartbleedさえ含まれていた。

こう語ったのは、ブラック・ダック・ソフトウェア 代表取締役社長 ジェリー・フィズニック氏だ。ブラック・ダック・ソフトウェアは、OSSの脆弱性とライセンス管理ソリューションを提供する米企業である。

●IT産業のインフラ化しているOSS

現在、インターネット上のサービスを利用する、または関連のシステムを開発するのに、OSSの利用は避けて通れない。LinuxやAndroidは言うに及ばず、PHPやPostgreSQL、Apache、Apache Strutsといった開発ツールや環境、アプリ開発に必要なライブラリ、サービスコンポーネントに至るまで、いまやOSSを利用せず、ソフトウェア開発をするのは不可能といってもよい。

OSSの脆弱性管理やライセンス管理の認識が薄いのは、技術に暗い管理職が、無料で使えるならその他の制約もないだろうと誤解するのかもしれない。現場のエンジニアは自覚している人も少なくないだろうが、対策には管理職や経営層の理解が必要になる。あるいは、納期に追われ余分な手間を増やしたくないという本音もあるかもしれない。

しかし、自社が開発しているソフトウェアをOSSとして公開していないだけで、OSSはソフトウェア開発やITサービスのインフラのひとつなっている。

同社の調査によれば、世の中のソフトウェアの96%になんらかのOSSコンポーネントが含まれており、そのうち67%が既知の脆弱性を含んでいるとする。1アプリケーションあたり平均では、147のOSSコンポーネント、27の脆弱性が発見されるという。また、アプリケーションのうち85%はOSSのライセンスに抵触している可能性があるという意見も存在する。

●OSS特有のライセンス管理

企業がOSSを使うことはリスクにつながるのだろうか。

《中尾 真二》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

(。・ω・)ゞ !!11月末迄 ScanNetSecurity創刊20周年特別キャンペーン実施中。会員限定 PREMIUM 記事読み放題。現在通常料金半額以下!!
(。・ω・)ゞ !!11月末迄 ScanNetSecurity創刊20周年特別キャンペーン実施中。会員限定 PREMIUM 記事読み放題。現在通常料金半額以下!!

サイバーセキュリティの専門誌 ScanNetSecurity は 1998年の創刊から20周年を迎え、感謝を込めた特別キャンペーンを実施中。創刊以来史上最大割引率。次は30周年が来るまでこの価格はもうありません!

×