Equifax事件の再発を防ぐために――2018年、オープンソースソフトウェア（OSS）向けリスク管理が不可欠になる理由：「OSSは、安易に取ってきて使えばいいものではない」（1/3 ページ）

全世界のソフトウェア開発で、オープンソースソフトウェア（OSS）を使用する動きが広まる一方、それに伴うリスク対策が遅れている。2017年、こうしたリスクは実際に大規模な情報漏えいや訴訟を引き起こした。こうした例を踏まえて、2018年は開発現場でどのような対策が有効なのか、専門家に話を聞いた。

[高木理紗，＠IT]

　2017年、オープンソースソフトウェア（OSS）が新たな局面を迎えた。ソニーやヤフーなどの大企業が、新たにAIや機械学習向けのOSSを市場に無償投入し、「新技術の成長を支える」場としての注目度を高めたのだ。今、多くのソフトウェア開発現場で、OSSの使用がますます一般化している。だからこそ、2018年にいっそう注目すべきなのが、OSS使用にまつわるリスクとその対策だ。

　無料で使え、全世界のあらゆるエンジニアの英知を結集しながら急速な成長を遂げるOSSは、企業やエンジニアにとって、もはや不可欠な存在だ。2017年10月、Red HatのCEOであるJim Whitehurst氏は、OSSを扱う同社の成長について、「AIやビッグデータ分析といった新しい用途に、WindowsよりもLinuxを使う企業が増えた。今や、より多くの先進企業が、OSSの必要性を理解している」と発言した。

　OSSを使いこなすためのサービスやツールもますます普及している。AWSやMicrosoft、Google、VMware、Pivotal、Red Hatなどが、コンテナのオーケストレーションツールである「Kubernetes」を使った製品を発表した。日本では、ソースコード検索システムである「Code Depot」や、統合監視ツール「Zabbix」などのOSSを使うエンジニアや企業をサポートするツールが発表された。

「当たり前」になったOSS使用がもたらすリスク

　こうしたOSS普及のペースに対して、OSS使用が引き起こすリスクに対する認知が遅れている。ソフトウェアベンダー向けにソースコード解析や脆弱（ぜいじゃく）性対策などを提供するフレクセラ・ソフトウェア（以下フレクセラ）によれば、「自社が扱うソフトウェアに、それぞれどのOSSのどのソースコードが含まれているかを確認し、脆弱性対策を徹底する」「OSSの使用許諾条件を確認し、ライセンス違反を回避する」といった対策を採っている企業は少ない。

フレクセラは、企業におけるOSSリスク認知度の低さに警鐘を鳴らす（提供：フレクセラ）

「1億4300万人分の個人情報が流出」――Equifax事件の背後にあったOSS脆弱性

　2017年9月、企業によるOSSの脆弱性対策の遅れが、大規模な被害を引き起こした。クレジットカードの信用情報などを扱う米国のEquifaxから、サイバー攻撃をきっかけに、米国国内だけで合計1億4300万人分の個人情報が漏えいした事件だ。

　同社への攻撃は、Webアプリケーションの開発に使われるOSS「Apache Struts 2」に含まれていた脆弱性「CVE-2017-5638」へのパッチ適用が遅れたところを狙ったものだった。この事件で、米国だけで20万件のクレジットカード番号をはじめ、住所や生年月日、社会保障番号など、さまざまな個人情報が流出。全米各地では、消費者がEquifaxを相手取り、集団訴訟を起こしている。

OSSに実際に見つかった脆弱性の例（提供：フレクセラ）