OSS脆弱性情報の収集・管理・適用を、シンプル・確実にする方法OSSのセキュリティリスクをどう低減するか?

厳しいコスト削減要請やデジタルトランスフォーメーション(DX: Digital transformation)を背景に、オープンソースソフトウェア(OSS: Open Source Software)の活用が拡大している。コストを抑えながら、必要なソフトウェアを自由に利用したり組み合わせたりできる点はOSSの大きな利点だが、脆弱性情報の収集・管理をはじめ、セキュリティリスクにもしっかりと対応しなければ甚大なダメージを被るリスクも隠れている。だが、ただでさえ多忙な業務の中、一体どうすれば多種多様なOSSの脆弱性情報を確実に収集・管理できるのだろうか? 日立製作所(以下、日立) に話を聞いた。

» 2019年06月05日 10時10分 公開
[PR/@IT]
PR

もはやビジネスに欠かせないOSSと、拡大するセキュリティリスク

 アプリケーション開発におけるOSSの活用が拡大している。例えばデータベースのMySQLやPostgreSQL、アプリケーションサーバのApache Tomcatなどは、小規模なWebサイトから大規模なエンタープライズ領域まで幅広く普及している。

 その背景の一つは、やはり「コスト削減」だ。商用ソフトウェアは規模が大きくなればライセンスコストの負担も増加し、ビジネス展開にも影響を与え得る。常に厳しくコスト削減を求められているIT部門にとって、OSSは欠かせない選択肢の一つとなっている。

 もう一つは「スピード」だ。DXを背景に、「ビジネスニーズに応えるスピード」が大きな差別化要素となっている。これを受けて、アプリケーションの開発・改善スピードを高めるために、アプリケーションをマイクロサービスアーキテクチャ化し、コンテナ技術と組み合わせて継続的インテグレーション(CI: Continuous Integration)/継続的デリバリ(CD: Continuous Delivery)を行うことが注目されているが、その手段としてコンテナ仮想化ソフトウェアのDocker、コンテナ管理ソフトウェアのKubernetes、CIツールのJenkins、プロジェクト管理ツールのRedmineなど、多様なOSSが利用されている。

 AI、IoTといったデジタル変革の領域も同様だ。HadoopやSparkなどの分散処理フレームワーク、MongoDBなどのNoSQLデータベース、Kibana、Grafanaといった分析基盤、TensorFlowなどのAIライブラリといった具合に、新規ビジネス創出にOSSが広く使われつつある。特にこの領域のOSSは「商用ソフトウェアを代替する」というより、機能に独自性があるものも多く、「これを使わなければサービス開発が進められない」ほど重要なものになっている。

ALT 株式会社日立製作所 システム&サービスビジネス統括本部 アプリケーションサービス事業部 サービスソリューション本部 サービスビジネス推進部 部長
広瀬雄二氏

 しかし、このように既存領域から新規領域までOSSが広く活用されるようになると、当然ながら課題やセキュリティリスクも増えてくる。日立の広瀬雄二氏はこう話す。

 「OSSを利用するメリットの1つは、コストを抑えながら必要なソフトウェアを自由に組み合わせて柔軟に利用できることです。これを受けて、企業でも非常に多くのOSSが使われていますが、活用はあくまで自己責任。その脆弱性情報を適切に管理できていなければ、数が増えるに従いセキュリティリスクも増大してしまいます。例えば、JavaアプリケーションフレームワークのApache Strutsや、Webサイト制作で広く利用されているWordPressに脆弱性が発見されるたびに迅速・確実な対応が求められているのはご存じの通りです。コスト削減、ビジネス展開のスピードアップ、新規ビジネス創出などが重視される反面、セキュリティリスクに目が向きにくくなっている傾向もある今、脆弱性情報の収集、管理、既存環境への適用の在り方が、あらためて大きな課題になっていると言えるでしょう」(広瀬氏)

OSS利用数に比例して、セキュリティリスクと対応負荷が増大する理由

 ただ、脆弱性情報の収集、管理、既存環境への適用のうち、まず情報収集が大きな課題になる傾向が強い。日立の谷川嘉伸氏は、「この情報収集がアプリケーションの開発現場に大きな負担を強いています」と指摘する。

ALT 株式会社日立製作所 システム&サービスビジネス統括本部 アプリケーションサービス事業部 サービスソリューション本部 サービスビジネス推進部 主任技師
谷川嘉伸氏

 脆弱性情報は、共通脆弱性評価システム(CVSS: Common Vulnerability Scoring System)を使って、世界共通のデータベースで管理されている。新しい脆弱性が見つかると共通脆弱性識別子(CVE: Common Vulnerabilities and Exposures)が与えられて公表され、利用者が脆弱性のレベルに応じて必要な対策を行いやすくしている形だ。

 ただ、利用しているOSSの数が増えると、CVSSによる脆弱性を見て修正プログラムなどを確実・効率的に適用することが難しくなってくる。例えば1つのOSSでも「バージョンの違い」や「依存するライブラリ」によって脆弱性の深刻度が変わることがある。その他、ディストリビューションの違いで修正プログラムの提供が遅れる、ソフトウェアの開発終了やサポート期限切れ(EOL: End of Life)によって修正プログラムが提供されない、といった問題も起こり得る。

 問題は、情報収集だけではない。谷川氏は「そもそも自社ではどのOSSを利用しているのか、正確に把握できていないケースも少なくありません」と指摘する。

 「多くの担当者が、『CVSSなどの脆弱性情報データベースで情報が公開されても、その情報一つ一つを自社システムと照らし合わせて確実に適用することが難しい』と感じています。事実、自社にどのようなOSSがあり、各OSSにどのような脆弱性情報やEOL情報が公表されているかを常に確認し続けることは大きな負担ですし、見落としなど人的ミスも起こり得ます。また、OSSコミュニティごとにバージョンアップ情報を確認することも必要ですし、アップデートする際の影響分析、修正、テストなどの対応工数もかかります。利用するOSSの数が増えるに従い、開発工程における企画、実装、運用保守にわたって、セキュリティ対応の負荷とリスクが増大してしまう状況なのです」(谷川氏)

顧客企業に代わってOSS脆弱性情報を収集・提供する「OSS情報提供サービス」

 では、一体どうすれば負荷を抑えながら、OSSのセキュリティ対策を確実・効率的に行えるのだろうか? 昨今、負荷低減・効率化と言えば「自動化」というキーワードも浮上する。だがCVSSも含め、脆弱性情報の多くは人が見てわかる「ヒューマンリーダブル」な形式で提供されているため、機械的な処理や自動化も難しい状況だ。

 そうした問題を鑑み、日立が2018年から提供しているのが「OSS情報提供サービス」だ。これは一言でいえば、顧客に代わってOSS脆弱性情報などを監視・収集し、情報提供するサービスだ。顧客から提示されたOSSリスト(OSS名とバージョン)に基づいて、そのOSSに関わるリスク情報を収集。リスク情報の概要を視覚的に把握しやすいレポートにして月次で提供する。

ALT 「OSS情報提供サービス」の概要《クリックで拡大》

 月次レポートの内容は、利用OSSに関する総合的な情報である「総合情報」、深刻度別に色分けされた「脆弱性情報」、コミュニティが宣言したEOL情報とコミュニティを観測して独自に判定したEOL相当の情報である「EOL情報」、利用OSSのバージョンと最新バージョンをまとめた「リリース情報」、各種情報をOSS単位で見ることができる「OSS単位の情報」などで構成されている。また、脆弱性情報が公表された場合は「速報レポート」を届ける。この速報レポートは、日次で情報を入手できるため、セキュリティリスクに対して迅速に対応することが可能だ。

ALT 「月次レポート」の提供イメージ《クリックで拡大》

 「これらは基本的にヒューマンリーダブルなレポートとして提供しますが、お客さまの要望に沿ってカスタマイズすることもできます。例えば、マシンリーダブルなAPI提供をすることも可能です」(谷川氏)

 また、開発機器に含まれるソフトウェア資産の一覧化を支援する「ソフトウェア構成要素管理支援」、開発成果物の一元管理化の支援を行う「成果物の統制管理支援」もそろえている。

 OSS情報提供サービスのメリットは大きく3つ。1つは、膨大なOSS情報の収集・整理・分析にかかる時間・コストを削減できること。2つ目はセキュリティリスクやサポート終了リスクを軽減できること。脆弱性情報レポートを速報で受領できるため、セキュリティリスクに対して迅速に対応できるのはもちろん、EOLが公表されないOSSについても「EOL相当の情報」を提供するため、サポート終了のリスクを避けやすくなる。

 3つ目は柔軟かつ計画的な対応が可能になること。月次レポートにおける脆弱性情報は深刻度が分かるように提供されるため、優先順位を付けて効率的に対応できるようになる。新機能情報や改善情報なども定期的に把握できるため、システムのアップデートを計画的に実施することも可能だ。

ALT 「OSS情報提供サービス」で得られる具体的メリット《クリックで拡大》

「セキュア化参照モデル」で、各社にマッチした「セキュアな開発環境」を整備

 なお、OSS情報提供サービスは、それ単独で用意しているわけではない点も大きな特長だ。周知の通り、日立はSIerとして、システム開発、システムマイグレーション、システムライフサイクルマネジメントなどの開発・運用業務を、長年にわたって幅広く請け負ってきた実績がある。そうした中で蓄積された、「セキュアなアプリケーション開発環境を整備するためのノウハウ」を「セキュア化参照モデル」として体系化している。

 「日立では、アプリケーション開発のライフサイクル全体において、“アプリケーションを構成するソフトウェアを意識したセキュリティ対策”を行うことが重要と考えています。そこで、開発機器管理、ソースコード管理、成果物管理、脆弱性管理、CI/CD管理、セキュリティ情報管理といった具合に、セキュアなアプリケーション開発環境を整備する上で欠かせない要素・ノウハウを体系化しているのです。それがこのセキュア化参照モデルです」(広瀬氏)

ALT セキュアな開発環境を整備する上での、長年の実績・ノウハウを体系化した「セキュア化参照モデル」《クリックで拡大》

 ポイントは、このセキュア化参照モデルに基づいた、「セキュアなアプリケーション開発環境を整備するサービス」を顧客企業にも提供しており、OSS情報提供サービスは、そのサービスの一部であるいうことだ。

 「近年は、開発プロセスにセキュリティ対策を埋め込むDevSecOpsも重視されるなど、“開発現場におけるセキュリティ対策”が強く求められるようになっています。そこで『セキュアなアプリケーション開発環境を整備するサービス』のうち、OSSの管理に必要な要素を切り出して提供開始したのがOSS情報提供サービスなのです」(谷川氏)

 従って、OSS情報提供サービスのみ利用することもできれば、セキュアなアプリケーション開発環境整備に向けて、開発機器管理、ソースコード管理、成果物管理なども含めた、包括的な支援を受けることもできるというわけだ。

 「もちろんアプリケーション開発環境は各社各様ですから、単に製品・サービスを提供するのではなく、セキュア化参照モデルをベースに、顧客企業の要望に応じて、各社の環境・特性にフィットする形で製品・サービスを適用します。つまりOSS情報提供サービスも、『セキュアな開発環境を整備するサービス』の一つの提供例というわけです。各社各様の開発環境をより確実にセキュアにする上で、セキュア化参照モデルを使った総合的なソリューションを提供できることが日立の強みだと考えます」(広瀬氏)

 前述の通り、OSS活用においては、コスト削減、ビジネス展開のスピードアップ、新規領域のアプリケーション開発といった側面ばかりが注目されがちだが、管理が行き届かなくなれば、企業としての社会的信頼を失うほどのダメージを被ることになりかねない。だが実際は、“甚大なリスク”を正確に把握できていない例が多いのではないだろうか。

 その点、セキュア化参照モデルという“日立のノウハウ”は、セキュアな開発環境を整える上で心強い味方になるはずだ。まずはOSS情報提供サービスを使って、現在のOSS利用の現状を可視化することから始めてみてはいかがだろう。

  • Java、MySQLは、Oracle Corporationおよびその子会社、関連会社の米国およびその他の国における商標または登録商標です。
  • PostgreSQLは、PostgreSQLの米国およびその他の国における商標または登録商標です。
  • Apache Tomcat、Apache Strutsは、Apache Software Foundationの商標または登録商標です。
  • Docker は、Docker Inc. の米国およびその他の国における登録商標もしくは商標です。
  • Kubernetesは、The Linux Foundation の米国及びその他の国における登録商標又は商標です。
  • Jenkins は、SOFTWARE IN PUBLIC INTEREST, INC. の米国およびその他の国における登録商標もしくは商標です。
  • Redmineは、Jan Schulz-Hofen及びJean-Philippe Langの商標. または登録商標です。
  • Hadoop、Sparkは、The Apache Software Foundationの米国およびその他の国における商標または登録商標です。
  • MongoDBは、MongoDB Inc.の登録商標です。
  • Kibana は、Elasticsearch BVの米国およびその他の国における登録 商標または商標です。
  • Grafanaは、Coding Instinct ABの商標または登録商標です。
  • TensorFlowは、Google LLCの米国およびその他の国における登録商標または商標です。
  • WordPressは、WordPress Foundationの登録商標です。

Copyright © ITmedia, Inc. All Rights Reserved.


提供:株式会社日立製作所
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2019年6月14日

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。