大規模ソフトの99%に用いられるOSS「今は脆弱性なくても将来必ず見つかる」IoTセキュリティ(2/2 ページ)

» 2019年05月31日 10時00分 公開
[朴尚洙MONOist]
前のページへ 1|2       

セキュリティインシデントのほとんどはOSSへのパッチ未適用が原因

 OSSは、ソースコードが公開されており、誰でも自由にアクセス、利用、変更、再頒布ができ、一定のライセンスのもとで配布される。その再利用性の高さから、採用が広がるOSSだが、利用する際にはセキュリティリスクがあることも理解しておかなければならない。OSSは、開発やメンテナスを続ける中で何らかの脆弱性が見つかることが多い。その脆弱性を修正するためのパッチはOSSコミュニティーによって配布、共有されるものの、製品に組み込んだコードベースへのパッチ適用は、製品を開発した企業や技術者が自ら行わなければならないのだ。

 吉井氏によれば、2009年から2018年にかけてのセキュリティインシデントの報道は、ほとんどがOSSへのパッチ未適用に起因するものだったという。今回の調査でも、OSSの脆弱性が修正されていないコードベースの割合は60%に上った。「前回調査の78%よりは改善しているが、依然として高い値だ。また、40%以上のコードベースに高いリスクの脆弱性が含まれている」(同氏)。また、これらの脆弱性は、ソースコードが開示されてからの期間が長いことも特徴になっている。全体の平均では6.6年で、ソースコード開示から10年以上の脆弱性は43%、最古の脆弱性に至っては28年が経過していた。

調査対象のコードベースから検出された脆弱性のソースコード開示からの期間に関するデータ 調査対象のコードベースから検出された脆弱性のソースコード開示からの期間に関するデータ(クリックで拡大) 出典:日本シノプシス

 先述した通り、OSSは「一定のライセンスのもとで配布される」が、このライセンスにもリスクが存在する。今回の調査結果では、調査対象のコードベースの68%にライセンス違反のコンポーネントが含まれており、「ライセンスなし」と判定されたコンポーネントを含むものが38%あったという。ライセンス違反については、組み合わせたコードの開示を求めるGPL v2.0に関するものがほとんどで、ライセンスなしは明確なライセンス規定がなく著作権のみが存在するものだ。さらに、調査対象のコードベースの32%にライセンス違反の問題が起こり得るようなカスタムライセンスが含まれていた。「OSSライセンスは2600種類あるといわれているが、上位20種のライセンスでOSSの98%をカバーしている。これら20種以外のカスタムライセンスへの対応は手間が掛かる可能性が高い」(吉井氏)。

OSSライセンスに関するリスク OSSライセンスに関するリスク(クリックで拡大) 出典:日本シノプシス

 吉井氏は「もはやOSSの利用は避けられない。しかし、OSSの利用はリスクではなく、OSSを管理できていないことがリスクなのだ。ほとんどのOSSの脆弱性は、ソースコードを開示した時には見つかっておらず、その利用が広がる中で見つかる。つまり、利用しようと考えているOSSは、将来的に脆弱性が必ず見つかると思うべきだ」と述べている。

前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.