経済産業省は4月21日、「OSSの利活用及びそのセキュリティ確保に向けた管理手法に関する事例集」を公開した。(記事はこちら)
経済産業省がOSSの利活用とセキュリティの確保について、民間企業の事例が紹介されています。OSSを利用する際にセキュリティで気を付けるべきポイントについて説明します。
OSSとは、オープンソースソフトウェアの略で、オープンソースという名称自体は、Open Source Initiativeという組織が定義したものです。オープンソースはソースコードが開示されており、自由な利用と再配布を認めているもので、OSSはオープンソースの定義に従ったソフトウェアとされています。OSSは自由な利用や再配布が認められていますが、無条件に利用できるというわけではありません。ソースコードの改変や再配布に関する諸条件についてはOSSライセンスとしてコミュニティごとにまとめられています。
今回、公開された資料ではOSSを利活用している企業へのヒアリング結果から、OSSを利活用する際に留意すべきポイントについて整理されていますので、OSSの利用を検討しているすべての組織にとって参考となる資料です。
サイバー・フィジカル・セキュリティとは、仮想であるサイバー空間と、現実であるフィジカル空間の融合によって生まれた新たなセキュリティリスク全般のことを意味します。また、サイバー空間とフィジカル空間を高度に融合させた超スマートな社会を「Society5.0」と呼び、Society5.0のセキュリティ対策例をまとめたサイバー・フィジカル・セキュリティ対策フレームワーク、略してCPSFというものが存在しています。
CPSFの目的は、主にSociety5.0で求められるセキュリティ対策の全体像を整理することです。新しい社会に変化するからこそ、新しいセキュリティリスクが生まれ、新しいセキュリティ対策が必要になるということです。ただし、守るべき資産を特定してリスクの許容などを判断するプロセス自体は、従来のリスク分析と変わりません。主な違いとしては、サイバー空間とフィジカル空間が融合するため、サイバー攻撃がフィジカル空間まで到達してしまうことなどが考えられます。
OSS課題観点として、選定評価、ライセンス、脆弱性対応、保守・品質保証、サプライチェーン管理、個の能力・教育、組織体制、コミュニティ活動の8つが挙げられています。今回はその中から、選定評価、脆弱性対応、保守・品質保証の3つについて説明します。
選定を検討しているOSSが安全であるか判断することが難しいという課題があります。理由は、OSSとは逆のプロプライエタリ・ソフトウェアと比較して、品質保証の主体が明確ではないからです。これは、OSS自体の品質が低いという意味ではありませんが、いずれかの組織がOSSの選定をする際に、機能や品質、安全性、信頼性のバランスについて判断をする必要があります。
使われているOSSの脆弱性を把握して対応することが難しいという課題があります。理由は、脆弱性の告知方法や適用手段などがOSSによって異なるからです。OSSが無料で利用できる一方で、脆弱性対応にかかる労力やコストが見合わないといったことが発生しています。
保守の計画が立てづらいという課題があります。理由は、OSSの保守はコミュニティの判断で行われるため、ある日突然サポートが終了される可能性があるからです。もし、サポートが終了したOSSで脆弱性が発見された場合、修正される可能性は低いと考えられます。
様々な課題があるOSSですが、うまく利用できれば付加価値を生むことができますので、適切にセキュリティを担保したうえで、OSSのメリットを享受していただきたいですね。
今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ
