米ブラック・ダック・ソフトウェア(Black Duck Software)日本法人は2017年5月19日、同社が監査を請け負ったユーザーの実例をベースに、2016年におけるOSSの利用状況と、OSSのセキュリティ脆弱性の現状を報告した。業務システムへの採用が広がっているOSSだが、そこに含まれる脆弱性は年々増えており、注意が必要だ。
「ユーザー企業が構築した業務アプリケーションの67%に、既知のセキュリティ脆弱性を含んだオープンソースソフトウェア(OSS)が含まれている。1つの業務アプリケーションに含まれるOSSの脆弱性は27個に上る。OSSに含まれる脆弱性は年々増えており、注意が必要だ」──。
米Black Duck Softwareは、企業におけるOSSの利用状況を調べるソフトや監査サービスを提供しているベンダーである。ユーザー企業が構築した業務アプリケーションに含まれているOSSのコードを特定し、OSSに既知のセキュリティ脆弱性が残っているかを調べられる。
日本法人のブラック・ダック・ソフトウェアは2017年5月19日、同社が監査を請け負ったユーザーの実例をベースに、2016年におけるOSSの利用状況と、OSSのセキュリティ脆弱性の現状を報告した。
2016年の1年間に、15業種440社の1071件に及ぶ業務アプリケーションを監査した。ここから見えた統計データを、年次レポート『2017年度版オープンソースセキュリティ&リスク分析レポート(OSSRA 2017)』として公開している(URLは、https://www.blackducksoftware.com/open-source-security-risk-analysis-2017)。
使っているOSSの過半数は、OSSとは知らずに使っている
統計では、業務アプリケーション1071件のうち、96%にOSSが含まれている。67%は、既知のセキュリティ脆弱性を含んだOSSを使っている。52%は、「深刻」な脆弱性を含んでいる。1つの業務アプリケーションに含まれるOSSの脆弱性は平均して27件に上る。
写真1:ブラック・ダック・ソフトウェアで代表取締役社長を務めるジェリー・フォズニック(Gerry Fosnick)氏 1つの業務アプリケーションに含まれるOSSのコンポーネントは、平均して147件。ユーザーが存在を把握しているコンポーネントは45%のみで、残りの55%はOSSを使っているという認識を持つことなく使っている。「把握している数と、実際の使用状況が異なっている。ユーザーは、知らずにOSSを使っている」(同社)。
業種によって脆弱性の傾向は異なる。深刻な脆弱性を最も含んでいる業界は小売業&電子商取引であり、同業界のアプリケーションの83%が深刻な脆弱性を含んでいる。1つのアプリケーション当たりの脆弱性の数が最も多い業界は、金融サービス&フィンテックの52.5件である。
深刻な脆弱性を持つコンポーネントのうち、多くの業務アプリケーションで使われているコンポーネントの例は、Apache Commons FileUploadで13.8%、Apache Tomcatで10.1%、OpenSSLで8.3%、Apache Strutsで3.9%などである。
最もよく使われているOSSコンポーネントはjQueryで、業務アプリケーションの57.9%が利用している。多くの脆弱性を持った危険はコンポーネントは、Linux Kernel v.2.6.27.7やPHP v4.0.0、Ruby on Rails v.3.2.0などで、Linux Kernel v.2.6.27.7は293個の脆弱性を持ち、このうち73個は深刻な脆弱性である。
Struts / Tomcat / Ruby on Rails / OpenSSL / 脆弱性 / ユーザー調査 / Black Duck
