[調査・レポート]

業務アプリの67%にオープンソースの脆弱性─Black Duckが報告

2017年5月19日(金)日川 佳三(IT Leaders編集部)

米ブラック・ダック・ソフトウェア(Black Duck Software)日本法人は2017年5月19日、同社が監査を請け負ったユーザーの実例をベースに、2016年におけるOSSの利用状況と、OSSのセキュリティ脆弱性の現状を報告した。業務システムへの採用が広がっているOSSだが、そこに含まれる脆弱性は年々増えており、注意が必要だ。

 「ユーザー企業が構築した業務アプリケーションの67%に、既知のセキュリティ脆弱性を含んだオープンソースソフトウェア(OSS)が含まれている。1つの業務アプリケーションに含まれるOSSの脆弱性は27個に上る。OSSに含まれる脆弱性は年々増えており、注意が必要だ」──。

 米Black Duck Softwareは、企業におけるOSSの利用状況を調べるソフトや監査サービスを提供しているベンダーである。ユーザー企業が構築した業務アプリケーションに含まれているOSSのコードを特定し、OSSに既知のセキュリティ脆弱性が残っているかを調べられる。

 日本法人のブラック・ダック・ソフトウェアは2017年5月19日、同社が監査を請け負ったユーザーの実例をベースに、2016年におけるOSSの利用状況と、OSSのセキュリティ脆弱性の現状を報告した。

 2016年の1年間に、15業種440社の1071件に及ぶ業務アプリケーションを監査した。ここから見えた統計データを、年次レポート『2017年度版オープンソースセキュリティ&リスク分析レポート(OSSRA 2017)』として公開している(URLは、https://www.blackducksoftware.com/open-source-security-risk-analysis-2017)。

使っているOSSの過半数は、OSSとは知らずに使っている

 統計では、業務アプリケーション1071件のうち、96%にOSSが含まれている。67%は、既知のセキュリティ脆弱性を含んだOSSを使っている。52%は、「深刻」な脆弱性を含んでいる。1つの業務アプリケーションに含まれるOSSの脆弱性は平均して27件に上る。

写真1:ブラック・ダック・ソフトウェアで代表取締役社長を務めるジェリー・フォズニック(Gerry Fosnick)氏

 1つの業務アプリケーションに含まれるOSSのコンポーネントは、平均して147件。ユーザーが存在を把握しているコンポーネントは45%のみで、残りの55%はOSSを使っているという認識を持つことなく使っている。「把握している数と、実際の使用状況が異なっている。ユーザーは、知らずにOSSを使っている」(同社)。

 業種によって脆弱性の傾向は異なる。深刻な脆弱性を最も含んでいる業界は小売業&電子商取引であり、同業界のアプリケーションの83%が深刻な脆弱性を含んでいる。1つのアプリケーション当たりの脆弱性の数が最も多い業界は、金融サービス&フィンテックの52.5件である。

 深刻な脆弱性を持つコンポーネントのうち、多くの業務アプリケーションで使われているコンポーネントの例は、Apache Commons FileUploadで13.8%、Apache Tomcatで10.1%、OpenSSLで8.3%、Apache Strutsで3.9%などである。

 最もよく使われているOSSコンポーネントはjQueryで、業務アプリケーションの57.9%が利用している。多くの脆弱性を持った危険はコンポーネントは、Linux Kernel v.2.6.27.7やPHP v4.0.0、Ruby on Rails v.3.2.0などで、Linux Kernel v.2.6.27.7は293個の脆弱性を持ち、このうち73個は深刻な脆弱性である。

関連キーワード

Struts / Tomcat / Ruby on Rails / OpenSSL / 脆弱性 / ユーザー調査 / Black Duck

関連記事

トピックス

[Sponsored]

業務アプリの67%にオープンソースの脆弱性─Black Duckが報告 米ブラック・ダック・ソフトウェア(Black Duck Software)日本法人は2017年5月19日、同社が監査を請け負ったユーザーの実例をベースに、2016年におけるOSSの利用状況と、OSSのセキュリティ脆弱性の現状を報告した。業務システムへの採用が広がっているOSSだが、そこに含まれる脆弱性は年々増えており、注意が必要だ。

PAGE TOP