- 2021/11/30 掲載
ベリサーブ、「OSS管理の自走化」を実現する支援サービスを拡充
1.サービス提供とセミナー実施の背景
昨今のソフトウェア開発では、ソースコードが一般に公開され、ソースコードの利用・修正・再配布が可能なOSSが企業のプロダクトやサービスに積極的に使用されています。汎用ライブラリを中心に採用されることが多くあり、OSSを用いずにプロダクトやサービスを構築することは困難とも言える状況です。一方で、2021年4月には経済産業省から「オープンソースソフトウェアの利活用およびそのセキュリティ確保に向けた管理手法に関する事例集」(※1)が公開され、脆弱性対応や管理手法について多くの企業が課題を抱えている現状が指摘されています。また、産業界として、知見の共有が有効であることも示されています。さらに当社へも「OSSは積極的に活用したいが、OSSに関する知見を持った社員がいないため、手探りで運用をしている」「OSSの脆弱性は日々発見をされるが、海外の情報を素早く入手することが難しい」「OSSのライセンス情報や脆弱性情報の管理は、部署ごとに管理方法が異なるため、他部署と共有や全社でガバナンスを効かせることが難しい」といった課題に対する相談も寄せられています。
※1 参照:経済産業省 2021年4月21日発表ニュースリリース
( https://www.meti.go.jp/press/2021/04/20210421001/20210421001.html)
2.OSSの利活用における「リスク」について
2-1.脆弱性リスクについて
当社が、パートナーシップを結ぶシノプシス社が2020年に監査した17業種、1,546のコードベースの分析から、以下が報告(※2)されています。
・OSSを含むコードベースは98%
・少なくとも1つの脆弱性が見つかったコードベースの割合:84%
・ライセンス条件の競合が見つかったコードベースの割合:65%
・1つのコードベースに見つかった脆弱性の数(平均):158
また、コードベースに脆弱性が含まれる割合は、2018年度で60%、2019年度で75%、2020年度で84%と、リスクが上昇傾向にある現状が確認できます。
※2 参照:シノプシス・サイバーセキュリティ・リサーチ・センター(CyRC)発行「2021オープンソース・セキュリティ&リスク分析レポート」
2-2.コード以外に潜むリスク
OSSの利活用におけるコード以外の一般的なリスク例としては、次のようなものがあります。
・コンプライアンス観点:ライセンス競合・違反等の法的リスク
・セキュリティ観点:OSS由来の脆弱性混入リスク
・運用観点:OSS開発コミュニティ終了に伴う、運用・保守リスク
また、利活用においてマネジメントからのサポートが十分でないケースが見受けられ、属人的な管理となっているケースも少なくありません。ソフトウェア開発の規模の巨大化や、開発チームの並列・分散化からも”意図しないOSSの混入”や、”経緯が引き継がれずに使用され続けるOSS”といった状況も散見されます。このようなリスクの先に想定されるダメージとしては、損害賠償請求の事例や、提供サービスの評判下落といった事例が挙げられ、企業活動に大きな影響を及ぼします。
さらに、OSS管理ツールベンダーには外資系企業が多く、日本法人を有していないために、日本国内の情勢や商習慣に適したサポートを得づらい環境も、トラブルが発生した際のリスクの一つとして挙げられます。
関連タグ
関連コンテンツ
PR
PR
PR