OSSの活用が広がるIoT分野、潜むリスクは（1/2 ページ）

[高橋睦美，ITmedia]

　「ITシステムだけでなくInternet of Things（IoT）の分野でもオープンソースソフトウェア（OSS）の採用が広がっており、いくつかのリスクが懸念される」――半導体設計ツール（EDA）を手掛ける米SynopsysのBlack Duck Softwareは毎年、さまざまな商用ソフトウェアに含まれるOSSのセキュリティやライセンスコンプライアンスに関するレポート「Open Source Security and Risk Analysis」（OSSRA）を発表している。

　6月に発表した最新版「2018 OSSRA」は、同社が2017年に1100を超える商用ソフトウェアのコードに対して実施した監査の結果を基にまとめたレポートだ。監査の対象はいわゆるITシステム・企業システムやモバイルアプリ、ゲーム・エンターテインメント業界だけでなく、IoTや製造、自動車、医療など多岐にわたっている。

　これによると、商用ソフトウェアのうち96％が何らかのOSS、あるいはオープンソースのコンポーネントを含んでいることが明らかになった。IoTアプリケーションに限っても、77％にオープンソースコンポーネントが含まれる結果となった。

　アプリケーション1つ当たりでみると、平均257個のオープンソースコンポーネントが存在しているという。開発コストを低減し、市場に製品を投入するまでの時間を短縮できる他、革新的な技術の開発を早められるOSSの利点が評価された結果といえる。

懸念される脆弱性の存在

　ただ、それに伴って懸念されるのが脆弱性の存在だ。調査対象となったソフトウェアの78％は、少なくとも1つ以上のOSSに由来する脆弱性が含まれていた。コード単位で見ると平均64件の脆弱性が含まれていたという。

　しかも、監査で見つかった脆弱性がいつ発覚したものかを調べると、平均で6年前だった。Synopsysは、古い脆弱性が残ったまま、新たな脆弱性も積み上がりつつあると指摘している。

　興味深いのは業界ごとの比較だ。