自動車向けソフトウェア開発で採用が進むOSSに潜む「大きな課題」とは：OSSのリスク管理で実施すべき「5つ」のポイントをBlack Duckが提言

Black Duck Softwareが、自動車向けソフトウェアにおけるOSS活用の現状を調査したレポートを公開。OSSを利用した車載アプリケーションの開発は「セキュリティ対策」と「ライセンス違反」が大きな課題になるとし、実施すべき「5つのポイント」を提言した。

[＠IT]

2017 Open Source Security & Risk Analysis Report

　オープンソースソフトウェア（OSS）のライセンス・リスク管理ソリューションを展開するBlack Duck Software（以下、Black Duck）は2017年6月9日、「自動車業界におけるオープンソースソフトウェアの管理と安全確保」に関する調査レポートを公開。自動運転や社会・交通IoT（Internet of Things）システムなどを中心にITと自動車の関係が急速に深まっている中で、自動車向けソフトウェアの開発にOSSを利用する際の利点と課題を調査したもの。

　Black Duckによると、2017年現在、自動車向けアプリケーションの23％がOSSで構成されているという。こうした自動車業界でのOSSの利用が拡大している理由は、ITシステムの場合と同様に「開発コストを削減」でき、「開発期間も短縮可能」なことが挙げられる。特に自動車メーカーは自社製品を差別化する独自機能の開発に注力したいと考えており、OSSの利用はアジャイル開発を効率よく支援するとしている。

　一方、OSSの課題には「セキュリティ」が挙げられる。コネクテッドカーや自動運転車の実現のためには、当然、ソフトウェアにも高度なセキュリティ対策が必要。車の制御はもちろん、車を利用するユーザーのプライバシーなども考慮しなければならない。

　特にOSSに脆弱（ぜいじゃく）性が見つかった場合が対処が難しい。一般的にOSSの脆弱性は、悪意ある者にとって格好の標的となる。また、その場で更新できるならばともかく、自動車販売店などへ持ち込む必要などがあるならば、それだけ対策が遅れたり、放置されたりもする。Black Duckは、「自動車メーカーにとって、車載OSSアプリケーションの追跡や管理をいかに対策するか」は特に重要な課題と位置付けている。

　ライセンスの管理も課題の1つとする。Black Duck オープンソースリサーチ＆イノベーションセンター（COSRI）の調査によると、OSSのライセンス違反が広く確認されたという。OSSは無償で使え、改良や再配布なども認められるが、それは全くの無条件ではない。例えば、同社が無作為に監査した幾つかのアプリケーションには、1つ当たり平均で147個のOSSコンポーネントが使われていたが、その85％は何らかのライセンス違反を伴うコンポーネントが含まれていたという。最も多かったのは「GPL（GNU General Public License）違反」。監査したアプリケーションの75％がGPLのコンポーネントを使用していたが、GPLを順守していたアプリケーションはそのうちの45％にすぎなかったという。

　OSSの利用において、ライセンスを順守しなければ、企業は訴訟や知的所有権を損なう重大なリスクにさらされる。Black Duckは、「そのために、OSSを含んだ独自コードの所有権を含むライセンスやIP（Intellectual Property）の管理のための適切な対策も必要」と提言する。

　Black Duckが挙げた、自動車サプライチェーン全体でOSSリスクを適切に管理していくためのポイントは以下の通り。

• OSSの完全な棚卸：アプリケーションに使用されているオープンソースの完全かつ正確な棚卸しを行う
• 既知のセキュリティ脆弱性に、オープンソースをマッピングする：公開されているOSSの脆弱性に関する公開情報を参照して、使用しているOSSコンポーネントの脆弱性を特定する
• ライセンスおよび品質リスクを特定する：オープンソースライセンスへの準拠を確認し、訴訟や知的財産権の侵害などの重大なリスクを回避する。古くなったり、品質が低くなったりしたコンポーネントやアプリケーションに関するリスクも追跡して管理する
• オープンソースのリスクポリシーを強化する
• 新たなセキュリティ脅威に対するアンテナを張る：OSSには、年間3500以上の脆弱性が発見されている。アプリケーションの開発が終わってからも、新たな脅威を継続的に追跡、監視、管理していくことが必須となる