Equifax事件の再発を防ぐために――2018年、オープンソースソフトウェア(OSS)向けリスク管理が不可欠になる理由:「OSSは、安易に取ってきて使えばいいものではない」(1/3 ページ)
全世界のソフトウェア開発で、オープンソースソフトウェア(OSS)を使用する動きが広まる一方、それに伴うリスク対策が遅れている。2017年、こうしたリスクは実際に大規模な情報漏えいや訴訟を引き起こした。こうした例を踏まえて、2018年は開発現場でどのような対策が有効なのか、専門家に話を聞いた。
2017年、オープンソースソフトウェア(OSS)が新たな局面を迎えた。ソニーやヤフーなどの大企業が、新たにAIや機械学習向けのOSSを市場に無償投入し、「新技術の成長を支える」場としての注目度を高めたのだ。今、多くのソフトウェア開発現場で、OSSの使用がますます一般化している。だからこそ、2018年にいっそう注目すべきなのが、OSS使用にまつわるリスクとその対策だ。
無料で使え、全世界のあらゆるエンジニアの英知を結集しながら急速な成長を遂げるOSSは、企業やエンジニアにとって、もはや不可欠な存在だ。2017年10月、Red HatのCEOであるJim Whitehurst氏は、OSSを扱う同社の成長について、「AIやビッグデータ分析といった新しい用途に、WindowsよりもLinuxを使う企業が増えた。今や、より多くの先進企業が、OSSの必要性を理解している」と発言した。
OSSを使いこなすためのサービスやツールもますます普及している。AWSやMicrosoft、Google、VMware、Pivotal、Red Hatなどが、コンテナのオーケストレーションツールである「Kubernetes」を使った製品を発表した。日本では、ソースコード検索システムである「Code Depot」や、統合監視ツール「Zabbix」などのOSSを使うエンジニアや企業をサポートするツールが発表された。
「当たり前」になったOSS使用がもたらすリスク
こうしたOSS普及のペースに対して、OSS使用が引き起こすリスクに対する認知が遅れている。ソフトウェアベンダー向けにソースコード解析や脆弱(ぜいじゃく)性対策などを提供するフレクセラ・ソフトウェア(以下フレクセラ)によれば、「自社が扱うソフトウェアに、それぞれどのOSSのどのソースコードが含まれているかを確認し、脆弱性対策を徹底する」「OSSの使用許諾条件を確認し、ライセンス違反を回避する」といった対策を採っている企業は少ない。
「1億4300万人分の個人情報が流出」――Equifax事件の背後にあったOSS脆弱性
2017年9月、企業によるOSSの脆弱性対策の遅れが、大規模な被害を引き起こした。クレジットカードの信用情報などを扱う米国のEquifaxから、サイバー攻撃をきっかけに、米国国内だけで合計1億4300万人分の個人情報が漏えいした事件だ。
同社への攻撃は、Webアプリケーションの開発に使われるOSS「Apache Struts 2」に含まれていた脆弱性「CVE-2017-5638」へのパッチ適用が遅れたところを狙ったものだった。この事件で、米国だけで20万件のクレジットカード番号をはじめ、住所や生年月日、社会保障番号など、さまざまな個人情報が流出。全米各地では、消費者がEquifaxを相手取り、集団訴訟を起こしている。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- 既存の技術を「さらに高速化」――ヤフー、ネット広告向け機械学習技術を無償公開
ヤフーは機械学習技術「AnnexML」をオープンソースソフトウェア(OSS)として公開した。ユーザーのサービス利用情報とクリックした広告の組み合わせを学習し、ユーザーに対してクリックされやすい広告を高精度で予測する。 - あまり知られていないFacebookの機械学習ツール「FBLearner Flow」とは
機械学習フレームワークでは、GoogleのTensorFlowが人気を博しているが、Facebookは「FBLearner Flow」というツールを自社開発し、同社エンジニアの4分の1が使っているという。このツールは、業界に大きな影響を与える可能性を秘めている。 - 自動車向けソフトウェア開発で採用が進むOSSに潜む「大きな課題」とは
Black Duck Softwareが、自動車向けソフトウェアにおけるOSS活用の現状を調査したレポートを公開。OSSを利用した車載アプリケーションの開発は「セキュリティ対策」と「ライセンス違反」が大きな課題になるとし、実施すべき「5つのポイント」を提言した。 - Red Hatの業績は、新世代アプリケーションプラットフォームの普及を示しているか
Red Hatにおける新興製品群の売り上げの伸びは、新世代のアプリケーションプラットフォームが普及しつつあることを示しているのか。来日したRed Hat CEOのジム・ホワイトハースト氏と、エグゼクティブバイスプレジデントで製品および技術担当プレジデントであるポール・コーミエ氏に聞いた。 - 新たなクラウド監視ツールとして注目が高まる「Sensu」がよく分かる無料の電子書籍
人気過去連載を電子書籍化して無料ダウンロード提供する@IT eBookシリーズ。第35弾は、OSS(オープンソースソフトウェア)のシステム監視ツール「Sensu」の使い方をまとめた『Sensuで始めるクラウド時代のシステム監視』だ。 - SRA、ソースコード検索システム「CodeDepot」をオープンソースソフトウェアとして無償公開
創立50周年を迎えるSRAは、同社が開発したソースコード検索システム「CodeDepot」のソースコードを、2017年12月1日に無償で公開する。