OSSに潜在する訴訟・脆弱性リスク | ScanNetSecurity
2024.06.22(土)

OSSに潜在する訴訟・脆弱性リスク

2017年には、機内娯楽サービスの会社がPanasonic Avionicsに対して1億ドルの訴訟を起こした。

脆弱性と脅威 脅威動向
ある企業が自社システムにはオープンソースソフトウェア(OSS)を使っていないと考えていた。しかし、業務アプリを3つ任意に調べたところ、約400件のOSSコンポーネントが存在し、その中に286件の脆弱性が発見された。脆弱性には、3年前に大きな話題となったHeartbleedさえ含まれていた。

こう語ったのは、ブラック・ダック・ソフトウェア 代表取締役社長 ジェリー・フィズニック氏だ。ブラック・ダック・ソフトウェアは、OSSの脆弱性とライセンス管理ソリューションを提供する米企業である。

●IT産業のインフラ化しているOSS

現在、インターネット上のサービスを利用する、または関連のシステムを開発するのに、OSSの利用は避けて通れない。LinuxやAndroidは言うに及ばず、PHPやPostgreSQL、Apache、Apache Strutsといった開発ツールや環境、アプリ開発に必要なライブラリ、サービスコンポーネントに至るまで、いまやOSSを利用せず、ソフトウェア開発をするのは不可能といってもよい。

OSSの脆弱性管理やライセンス管理の認識が薄いのは、技術に暗い管理職が、無料で使えるならその他の制約もないだろうと誤解するのかもしれない。現場のエンジニアは自覚している人も少なくないだろうが、対策には管理職や経営層の理解が必要になる。あるいは、納期に追われ余分な手間を増やしたくないという本音もあるかもしれない。

しかし、自社が開発しているソフトウェアをOSSとして公開していないだけで、OSSはソフトウェア開発やITサービスのインフラのひとつなっている。

同社の調査によれば、世の中のソフトウェアの96%になんらかのOSSコンポーネントが含まれており、そのうち67%が既知の脆弱性を含んでいるとする。1アプリケーションあたり平均では、147のOSSコンポーネント、27の脆弱性が発見されるという。また、アプリケーションのうち85%はOSSのライセンスに抵触している可能性があるという意見も存在する。

●OSS特有のライセンス管理

企業がOSSを使うことはリスクにつながるのだろうか。

《中尾 真二》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×