セキュリティの
学び場

今回の解説ニュース

オープンソースソフトウェアOSSを利活用するに当たって留意すべきポイントについて取りまとめられた資料が公開されています。OSSがどのように利活用されているかの事例を踏まえて、セキュリティで気を付けるべきポイントについて説明します。

今回の資料は、OSSの管理手法等に関して参考になる取組を実施している企業へのヒアリング等の結果を取りまとめ、OSSを利活用するに当たって留意すべきポイントが整理されています。同事例集にヒアリング調査が掲載されているのは、トヨタ自動車、ソニー、オリンパス、日立製作所、デンソー、サイボウズ、ヤフーなど匿名企業も含む全20社で、その他公開文献の調査から収集した海外事例3件も掲載されています。

サプライチェーンにおけるOSS利活用、3つの留意点

サプライチェーンにおけるOSSの使用について、資料の中で取り上げられている内容を引用しながら説明します。

OSS は、自社における使用のみならず、自社の製品やシステム開発のサプライチェーンを構成する企業等において使用されている可能性がある

例えば、皆さんにとって一番身近なOSSは、スマートフォンで使われているAndroidですね。自社で使っているパソコンのOSや、ホームページを設置しているサーバだけでなく、スマートフォンや家電などの製品の一部として使われていたり、外部委託先の企業でもシステムにOSSを利活用していることが考えられる、と述べられています。

納品物内の使用 OSS を把握し、前述のライセンス対応やバグ・ソフトウェア脆弱性等への対応を自社における OSS 使用時と同じように実施しなければならない

OSSの利活用に必要なライセンスを取得しているか、最新のバージョンを使うなどして脆弱性を含むソフトウェアの不具合に対応できているか、という点について自社で利活用する場合と同様に、外部から受け入れるシステムについても確認する必要がある、と述べられています。

サプライチェーン各社の使用 OSS に関する情報を適切に吸い上げる必要がある

OSSが利用されている情報資産を特定し、脆弱性などが修正されているか確認した上で、その状態が維持されていることを、継続的に確認し続けることが求められます。つまり、OSSの利活用は保守や運用とセットで考える必要があるということになります。

セキュリティ関連のOSSはどのようなものがあるのか？

セキュリティ関連のOSSとして、アンチウイルスのClamAVや、IDSのSnortが有名です。その他にも、システムの一部にOSSを利活用しているセキュリティ製品は数多くあります。

ClamAVとは、オープンソースで提供されているアンチウイルスです。メールの配送経路でウイルススキャンを行うことを主な目的としており、WindowsだけでなくLinuxでも動作することから、様々なシステムで利活用されています。

Snortとは、オープンソースで提供されている不正侵入検知システムです。1998年にリリースされた後に、2013年には主体となる組織がシスコシステムズ社に買収されましたが、現在もコミュニティと共同で開発が続けられています。

その他にも、製品の一部としてOSSが利活用されている場合があります。特に、Webの管理画面を提供するために、複数のOSSが利活用されている場合が多く見られます。しばしば、OSSの脆弱性が発見されることで、セキュリティ製品のアップデートが必要とされることとも、これらの背景が関係しています。

今回は、OSSのセキュリティで気を付けるべきポイントについて説明しました。我々が開発しているセキュリティサービスのS4も、お金がなくてもセキュリティ対策ができる社会を実現したいという思想は、OSSに近いものがあるかもしれません。社会課題としてのセキュリティに今後も真剣に向き合っていきたいと思ってます。