OSSの活用が広がるIoT分野、潜むリスクは(2/2 ページ)
米Synopsysの「2018 Open Source Security and Risk Analysis」レポートによると、IoTも含め、さまざまな業界の商用ソフトウェアでオープンソースソフトウェア・コンポーネントの活用が広がっている。一方で、脆弱性やライセンス違反のリスクも存在する。
IoTではアプリケーション1つ当たり平均677件の脆弱性が見つかった。この数字だけ見ると事態は深刻に思えるが、「セキュリティ上高いリスクを伴うコードの割合」は15%となる。
むしろ、インターネット&ソフトウェアインフラストラクチャ(67%)、インターネット&モバイルアプリ(60%)、サイバーセキュリティ(41%)、コンピュータハードウェア&半導体(22%)といった業界の方が、高い比率で高リスクのコードを含んでいた。
ライセンス違反にも注意
OSS利用に当たってもう1つ注意しなければならないのはライセンス違反だ。これを放置すると訴訟、あるいは知的財産が影響を受ける可能性がある。だが調査したソフトウェアコードの74%で、GPL(General Public License)違反をはじめとする何らかのライセンス違反を抱えていることが明らかになった。IoT業界でも、ライセンスに抵触するコンポーネントが含まれている割合は75%だった。
Synopsysは、コードの中に数百個という単位でオープンソースのコンポーネントが含まれている現状を踏まえると、スプレッドシートなどの手作業でライセンスを管理し続けるのは困難であり、「自動化プロセスを用意しない限り、おそらく無理だろう」と指摘している。
こうした結果の背景には、「更新プログラムが自動的にユーザーに送られる商用ソフトウェアとは異なり、オープンソースでは(ユーザー側が能動的に取得する)プルサポートモデルが採用されている」状況があるという。
また、社内の開発者だけでなくサードパーティーや外部の開発チームなど、さまざまな経路を介してコードの中にオープンソースが入ってくることを踏まえ、「利用しているOSSを把握する」「そこに含まれる脆弱性を追跡し、更新・修正する方法を整えておく」ことが重要だとしている。
関連記事
- 史上最悪規模のDDoS攻撃 「Mirai」まん延、なぜ?
インターネットの普及期から今までPCやITの世界で起こった、あるいは現在進行中のさまざまな事件から得られた教訓を、IoTの世界で生かせないか――そんな対策のヒントを探る連載がスタート。 - つながる世界の「安全神話」 アクセス制御が“徹底できない”ワケ
「別に何か設定をしなくても、本来つながるべき適切な相手にのみつながる」――IoT機器が普及する一方、そんな“思い込み”を持っている人は少なくありません。不正アクセスの被害を軽減するには、適切なネットワークのアクセス制御が必要と分かっているのに徹底できない理由は。 - 相次ぐルーターへの攻撃、厄介なのは「気付きにくい」こと
3月中旬以降、インターネットに接続するルーターが不正アクセスを受けた事件が報じられています。この攻撃の厄介なところは、DNS情報の書き換えというユーザーには気付きにくい手法が用いられていることです。 - スピーカーの音でHDDが故障 「ブルーノート攻撃」で考える物理的対策
動く部品、可動部があるものはいつかは壊れます。その弱点を突いた「ブルーノート攻撃」が5月末、注目を集めました。特定の周波数の音をスピーカーから流すと、HDDが故障してPCが正常に動作しなくなるという攻撃です。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.