ITmedia NEWS > セキュリティ >
ニュース
» 2018年06月30日 12時00分 公開

OSSの活用が広がるIoT分野、潜むリスクは (1/2)

米Synopsysの「2018 Open Source Security and Risk Analysis」レポートによると、IoTも含め、さまざまな業界の商用ソフトウェアでオープンソースソフトウェア・コンポーネントの活用が広がっている。一方で、脆弱性やライセンス違反のリスクも存在する。

[高橋睦美,ITmedia]

 「ITシステムだけでなくInternet of Things(IoT)の分野でもオープンソースソフトウェア(OSS)の採用が広がっており、いくつかのリスクが懸念される」――半導体設計ツール(EDA)を手掛ける米SynopsysのBlack Duck Softwareは毎年、さまざまな商用ソフトウェアに含まれるOSSのセキュリティやライセンスコンプライアンスに関するレポート「Open Source Security and Risk Analysis」(OSSRA)を発表している。

 6月に発表した最新版「2018 OSSRA」は、同社が2017年に1100を超える商用ソフトウェアのコードに対して実施した監査の結果を基にまとめたレポートだ。監査の対象はいわゆるITシステム・企業システムやモバイルアプリ、ゲーム・エンターテインメント業界だけでなく、IoTや製造、自動車、医療など多岐にわたっている。

 これによると、商用ソフトウェアのうち96%が何らかのOSS、あるいはオープンソースのコンポーネントを含んでいることが明らかになった。IoTアプリケーションに限っても、77%にオープンソースコンポーネントが含まれる結果となった。

photo

 アプリケーション1つ当たりでみると、平均257個のオープンソースコンポーネントが存在しているという。開発コストを低減し、市場に製品を投入するまでの時間を短縮できる他、革新的な技術の開発を早められるOSSの利点が評価された結果といえる。

懸念される脆弱性の存在

 ただ、それに伴って懸念されるのが脆弱性の存在だ。調査対象となったソフトウェアの78%は、少なくとも1つ以上のOSSに由来する脆弱性が含まれていた。コード単位で見ると平均64件の脆弱性が含まれていたという。

 しかも、監査で見つかった脆弱性がいつ発覚したものかを調べると、平均で6年前だった。Synopsysは、古い脆弱性が残ったまま、新たな脆弱性も積み上がりつつあると指摘している。

 興味深いのは業界ごとの比較だ。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.