Equifax事件の再発を防ぐために――2018年、オープンソースソフトウェア（OSS）向けリスク管理が不可欠になる理由：「OSSは、安易に取ってきて使えばいいものではない」（3/3 ページ）

全世界のソフトウェア開発で、オープンソースソフトウェア（OSS）を使用する動きが広まる一方、それに伴うリスク対策が遅れている。2017年、こうしたリスクは実際に大規模な情報漏えいや訴訟を引き起こした。こうした例を踏まえて、2018年は開発現場でどのような対策が有効なのか、専門家に話を聞いた。

[高木理紗，＠IT]

具体的なOSSリスク対策とは

　では、具体的にどのようなリスク管理が必要なのか。フレクセラでシニア事業開発マネージャーを務める西浦詳二氏は、「OSSを使用するリスク対策は、ソフトウェアを開発する企業や自社ブランドで販売する企業、他社で開発したソフトウェアを業務に使う企業など、あらゆる方面に必要だ」とした上で、以下の3つの対策を推奨する。

対策1：OSSポリシー策定、監視委員会の設置

　1つ目の対策は、OSS使用に関する自社のポリシーを策定し、使用状況を監視する「OSRB（オープンソースレビューボード）」の設置だ。OSRBは、ソフトウェア開発技術と法務の専門家から成る。自社で使用可能なOSSの判断基準や使用方法、その際の法務手続きなどをまとめる他、そうした基準だけでは判断が難しいケースについて議論し、判断を下す。

対策2：セキュリティ対策の確認

　2つ目の対策は、セキュリティだ。西浦氏は、「OSRBなどを通して、自社で使うOSSの安全性を見極めるプロセスや、仮にOSSに脆弱性が見つかった場合の対処プロセスを策定することが重要」と語る。特に、自社で使用するOSSに脆弱性が見つかった場合、その対処プロセスでは、該当するOSSを含んだ自社ソフトウェアを顧客先までトラッキングし、パッチを適用する必要がある。こうした対策に必要な時間や工数を前もって見積もることで、万全な対策が可能になるという。

対策3：法務の徹底

　3つ目の対策は、関連法務の徹底だ。あるOSSを使用する際、そのライセンス条件や使用許諾条件を確認する。ソフトウェア開発を外注した場合、納品時に開発作業に使用したOSS情報を開示させ、ライセンス条件が守られているかどうか確認するなど、管理を徹底する必要があるという。また、特定のソフトウェア企業を買収する場合は、買収相手の企業が持つコードの内容を精査することで、脆弱性などの技術的な面や、ライセンスの保持状況など法務的な面の安全確認が可能だ。

「OSSは、安易に取ってきて使えばいいものではない」

　西浦氏は、「OSSは、安易に取ってきて使えばいいものではない。リスクの大小を問わず、いったんトラブルが起こってしまえば、損をするのは企業自身だということを分かってほしい」と語る。

　同氏によれば、ものづくり文化が広く根付いた日本企業の場合、ソフトウェア開発を外注する場合でも、ある意味「製造物責任」のように、細かい内容を外注先に丸投げし、OSSリスク対策に注意を払っていない企業が多いという。「そうした企業が忘れているのは、情報漏えいなどのトラブルが発生した時点で、その企業の評判はがた落ちになるということだ。リスクの余波を受ける消費者や取引企業にとって、『どこから買った』は言い訳にならないのだから」（西浦氏）

---

　フレクセラの挙げる3つの対策は、決して簡単に済むものではない。ただし、今後、私たちがOSSを活用し続ける限り、OSSの脆弱性を突いて企業や組織の個人情報を狙う攻撃者は後を絶たず、そのリスク管理は重要性をさらに増していくだろう。ライセンス違反などに気付くことができずにソフトウェアをリリースしてしまった場合、法的なトラブルの収集や製品の修正にかかる時間や負担は膨大になり得る。

　また、2018年5月には、1人分でもEU居住者の個人情報を扱う企業を対象に厳格な個人データ管理規則を定め、「違反すれば企業の売上高の4％、または、2000万ユーロのいずれか高い方」を上限に罰金を科すGDPRの発効が予定されている。そうした状況で、今後Equifaxのような情報漏えいが再度起これば、消費者だけではなく、企業への影響も計り知れない。

　ソフトウェア開発に関わるエンジニアや企業は、OSSを使って開発を行う際、その内容や安全性を注意深く確認しつつ、その良さを引き出していく必要がある。こうした意味で、2018年は、複数の日本企業にとって、OSSのリスク管理に取り組む元年になりそうだ。