「自社開発アプリにOSSが組み込まれていること」はリスクか？ 調査結果が示す懸念と対策：34％の企業が「OSSの脆弱性を悪用された経験」を持つ

日本シノプシスは、サイバーセキュリティに携わる意思決定者を対象とした調査の結果を発表した。同社は「ソフトウェアサプライチェーンのリスクが、オープンソース自体の問題を超えて広がっている現状が明らかになった」としている。

[＠IT]

　日本シノプシスは2022年8月30日、サイバーセキュリティに携わる意思決定者を対象とした調査の結果を発表した。それによると、ソフトウェアサプライチェーンのリスクがオープンソース自体の問題を超えて広がっていることが分かった。

99％の企業が「今後1年以内にOSSを利用する」

　調査結果によると、自社のソフトウェアサプライチェーンを守るために「セキュリティ対策を大幅に強化した」と回答した企業の割合は73％。その背景には「Log4Shell」の脆弱（ぜいじゃく）性や、SolarWindsやKaseyaが受けたソフトウェアサプライチェーン攻撃があるとSynopsysは分析している。こうした企業に、自社で実施しているセキュリティ対策について聞くと「多要素認証（MFA）など強力な認証技術の採用」（33％）、「アプリケーションセキュリティテストへの投資」（32％）、「資産検出の改善によるアタックサーフェスの目録の更新」（30％）などが挙がった。

　一方、調査対象の企業の34％が、過去12カ月間に「オープンソースソフトウェア（OSS）の既知の脆弱性を悪用された経験がある」と回答し、28％の企業が「OSSの未知の脆弱性によってゼロデイ攻撃を受けた」と回答した。Synopsysは「OSSの利用拡大に伴って、アプリケーションのOSS依存が高まっている」と指摘している。

　OSSを現在使用しているか、あるいは今後12カ月以内に使用する予定だと回答した企業の割合はなんと99％だった。ただ、これらの企業は、アプリケーション開発工程で用いられるOSSの割合について懸念を持っている。「アプリケーションコードの多くの部分にOSSが組み込まれていること」を最大の懸念事項として挙げた企業の割合は54％だった。

　SynopsysのTim Mackey氏（CybersecurityResearchCenter　プリンシパル・セキュリティ・ストラテジスト）は、次のように述べている。

　「米国のサイバーセキュリティ強化に向けた大統領令を受けて、ソフトウェア部品表（SBOM：Software Bills of Materials）に、にわかに注目が集まっている。SBOMで武装することによって、Log4Shellレベルの新たな脆弱性が発見され、サードパーティー製ソフトウェアを標的としたサイバー攻撃が起きたとしても、迅速かつ的確に行動できるだろう」