ニュースリリース - 2020年12月8日

シノプシスによる調査の結果、オープンソース・コンポーネントのセキュリティの問題が 最大の懸念と認識されているものの、対策は遅れをとっていることが明らかに

世界1,500人のITプロフェッショナルへの調査の結果、回答者の40%がオープンソースの脆弱性に対処するため、開発スケジュールに混乱をきたしていると指摘

 

2020年12月8日 カリフォルニア州マウンテンビュー発 - シノプシス(Synopsys, Inc.、Nasdaq上場コード:SNPS)は本日、DevSecOps Practices and Open Source Management in 2020を公表した。シノプシスのCybersecurity Research Center (CyRC)が実施したこの調査には、サイバー・セキュリティ、ソフトウェア開発、ソフトウェア・エンジニアリング、ウェブ開発に従事する1,500名のITプロフェッショナルの回答結果がまとめられている。世界各国の企業/団体が、自社のソフトウェア・コードに組み込んでいるオープンソース・コンポーネントの脆弱性や旧式化もしくはアップデートが終了したオープンソース・コンポーネントの増加への対処戦略についての調査結果である。

 

オープンソース・コンポーネントは、今日のソフトウェア開発エコシステムの中で非常に重要な役割を果たしている。近年のコードベースの大半にオープンソース・コンポーネントが組み込まれており、コード全体の70%以上がオープンソースで構成されているケースも多い。さらに、オープンソース活用の増加に伴って、保守管理の手を離れたオープンソースに起因するセキュリティ・リスクも高まっている。事実、2020年オープンソース・セキュリティ&リスク分析(OSSRA)レポートで既報の通り、シノプシスが検査したコードベースの75%に、既知のセキュリティ脆弱性を持つオープンソースが組み込まれている。今回の調査の回答者は、こうした状況に対処するためには新しいオープンソース・コンポーネントの採用を検討する際、既知のセキュリティ脆弱性が潜んでないかどうかが最も重要な基準となると指摘している。

 

シノプシス Cybersecurity Research Center プリンシパル・セキュリティ・ストラテジスト Tim Mackeyは、次のように述べている。「未対策の脆弱性がソフトウェア開発に大きな痛みをもたらすものであり、最終的にはビジネス上のリスクとなることは明らかです。“DevSecOps Practices and Open Source Management in 2020”からは、企業/団体が、オープンソースに潜むリスクを効率的に調査し対処するのにいかに手を焼いているかが明らかになっています。今回の調査では、回答者の半数以上(51%)が、オープンソースに然るべき対策を施すには2-3週間を要すると指摘しています。このことは、どのようなオープンソース・コンポーネントが使われていて、それらが最後にアップデートされたのはいつなのかを把握するためにソフトウェア・コンポジション自動解析ツールを活用している企業/団体はわずか38%に過ぎないという事実とも密接に関連しています。それ以外の企業/団体では、オープンソース対策をマニュアル作業で行っていると考えられます。これでは開発/運用チームの業務をスローダウンさせるだけでなく、一日あたり平均数十ものセキュリティ関連情報が公開されている現状にあって対策に躍起にならざるを得ません」

 

DevSecOps Practices and Open Source Management in 2020で明らかになったその他の注目点は、下記の通りである。

 

  • DevSecOpsは世界各国で普及しつつある

回答者の63%は、何らかのDevSecOpsアクティビティをソフトウェア開発パイプラインに組み込んでいる。

  • アプリケーション・セキュリティ・テスト(AST)ツールが普及しているとは言い難い

回答結果は、ASTツールやテクニックは整っていると示唆しているものの、最も広く使われているASTツールを活用しているのは半分以下に過ぎない。

  • メディア報道がオープンソースのリスク管理に重要な役割を果たしている

回答者の46%は、所属する企業/団体がオープンソースの使用に当たってより厳重な管理を行うきっかけになっているのはメディア報道であると指摘している。

  • オープンソース・コンポーネントの使用年数の基準を明確にしている回答者は47%である

オープンソースを使用している企業/団体で増加しつつある問題点は、プロジェクトの持続性である。2020年オープンソース・セキュリティ&リスク分析(OSSRA)レポートが示しているように、2019年に調査対象となったコードベースの実に91%に、開発から4年以上が経過した時代遅れのオープンソース・コンポーネントや、過去2年間開発活動実績がなかったコンポーネントが組み込まれている。セキュリティ・リスクは、こうした旧式のコードが組み込まれたときに増大する。オープンソース・コンポーネントの乗っ取りは、その一例である。2018年にビットコイン用ウォレットのCopayをターゲットにイベントストリーム形式のコンポーネントが乗っ取られたようなケースが挙げられる。

 

DevSecOps Practices and Open Source Management in 2020の詳細は、下記より入手可能。

https://www.synopsys.com/software-integrity/resources/analyst-reports/devsecops-practices-open-source-management.html?cmp=pr-sig&utm_medium=referral

 

シノプシス ソフトウェア・インテグリティ・グループについて

シノプシスのソフトウェア・インテグリティ・グループは、開発チームが安全で高品質のソフトウェアを構築し、リスクを最小限に抑えながら速度と生産性を最大化することを支援している。アプリケーション・セキュリティのリーダーとして認められているシノプシスは、静的分析、ソフトウェア構成分析、および動的分析ソリューションを提供し、チームが独自のコード、オープンソース・コンポーネント、およびアプリケーションの動作の脆弱性と欠陥をすばやく見つけて修正できるようにする。業界をリードするツール、サービス、専門知識を組み合わせたシノプシスだけが、組織がDevSecOpsおよびソフトウェア開発ライフサイクル全体でセキュリティと品質を最適化するのを支援できる。ソフトウェアの品質とセキュリティを向上させ、それらに関するリスクを開発期間の長期化や開発効率の低下を引き起こすことなく最小化するための最先端のソリューションを提供している。シノプシスはアプリケーション・セキュリティのリーディング・カンパニーとして認識されており、静的解析、ソフトウェア・コンポジション解析、および動的解析のソリューションを提供し、チームが独自開発しているコード、オープンソース・コンポーネント、およびアプリケーションの動作の中に潜む脆弱性や不具合を短時間で特定/修正できるようにする。業界をリードするツール、サービス、ならびに専門技術の組み合わせにより、企業/団体がDevSecOps(開発とセキュリティ確保と運用の連携)の中で、またソフトウェア開発ライフサイクルを通じて、セキュリティと品質を最適化できるよう支援している企業はシノプシスのみである。

詳細な情報は、https://www.synopsys.com/ja-jp/software-integrity.htmlより入手可能。

 

シノプシスについて

Synopsys, Inc.(Nasdaq上場コード:SNPS)は、我々が日々使用しているエレクトロニクス機器やソフトウェア製品を開発する先進企業のパートナーとして、半導体設計からソフトウェア開発に至る領域(Silicon to Software)をカバーするソリューションを提供している。電子設計自動化(EDA)ソリューションならびに半導体設計資産(IP)のグローバル・リーディング・カンパニーとして長年にわたる実績を持ち、ソフトウェア品質/セキュリティ・ソリューションの分野でも業界をリードしており、世界第15位のソフトウェア・カンパニーとなっている。シノプシスは、最先端の半導体を開発しているSoC(system-on-chip)設計者、最高レベルの品質とセキュリティが要求されるアプリケーション・ソフトウェアの開発者に、高品質で信頼性の高い革新的製品の開発に欠かせないソリューションを提供している。

詳細な情報は、http://www.synopsys.com/japanより入手可能。

# # #

 

Synopsysは、Synopsys, Inc.の登録商標または商標です。

その他の商標や登録商標は、それぞれの所有者の知的財産です。

 

<お問い合わせ先>

 

日本シノプシス合同会社 フィールド・マーケティング・グループ 藤井 浩充

TEL: 03-6746-3940                  FAX: 03-6746-3941