ニュースリリース - 2021年5月21日

シノプシスによる調査の結果、商用ソフトウェアに含まれている脆弱性、時代遅れもしくは放置状態のオープンソース・コンポーネントの増加が明らかに

1,500を超す商用のコードベースを調査した結果、オープンソースに潜むセキュリティやライセンス上の問題、メンテナンス上の問題があらゆる業界で蔓延していると判明

 

2021年5月21日 東京発 - シノプシス(Synopsys, Inc.、Nasdaq上場コード:SNPS)は本日、2021年 オープンソース・セキュリティ&リスク分析(OSSRA)レポートOpen Source Security and Risk Analysis (OSSRA)を公表した。この報告書は、シノプシスのBlack Duck 監査サービス部門が1,500を超す商用コードベースを調査した結果をシノプシス Cybersecurity Research Center (CyRC)が分析し所見をまとめたものである。報告書では商用アプリケーションへのオープンソース・ソフトウェア利用にあたってのトレンドが明らかとなっており、商用アプリケーションやオープンソース・ソフトウェアの開発者が相互に連携したソフトウェア・エコシステムの現状を、よりよく理解するための指針となる洞察も記載されている。また、適切な管理がなされていないオープンソースによって引き起こされるリスクについても詳しく解説されている。セキュリティ脆弱性がある、時代遅れである、放置状態であるといった問題や、ライセンス・コンプライアンス違反といった問題である。

 

2021年OSSRAレポートでは、オープンソース・ソフトウェアがあらゆる業界にわたって使われている大多数のアプリケーションの根幹を担っている事実が確認されている。またこうした業界では、程度の差こそあれオープンソースがもたらすリスクへの対処に苦慮している事実も明らかとなった。

  • 見込み客情報を生成するCRMシステムやソーシャルメディアなどのマーケティング・テック業界では、全ての企業がオープンソースをコードベースに組み込んでいる。それらのコードベースの95%には、オープンソースの脆弱性が潜んでいる。
  • 医療関係業界では、98%の企業がオープンソースをコードベースに組み込んでいる。それらのコードベースの67%にはオープンソースの脆弱性が潜んでいる。
  • 金融サービス/フィンテック業界では、97%の企業が、オープンソースをコードベースに組み込んでいる。それらのコードベースの60%超には、オープンソースの脆弱性が潜んでいる。
  • リテール/eコマース業界では、92%の企業が、オープンソースをコードベースに組み込んでいる。それらのコードベースの71%には、オープンソースの脆弱性が潜んでいる。

 

より深刻な懸念は、放置状態になったオープンソース・コンポーネントの使用が蔓延していることである。憂慮すべきことに、コードベース全体の91%には、過去2年間一切開発活動実績のなかったコンポーネント、すなわちコードの改善や脆弱性の修正が何ら施されてこなかったオープンソース依存ファイルが組み込まれている。

 

シノプシス Cybersecurity Research Center プリンシパル・セキュリティ・ストラテジスト Tim Mackeyは、次のように述べている。「90%を超すコードベースで過去2年間一切開発活動実績のなかったオープンソースが使用されているという事実に驚きはありません。ベンダーからユーザーに情報提供がなされる商用ソフトウェアとは異なり、オープンソースの健全性は開発者コミュニティの関与の度合いに依存します。開発者コミュニティによるアップデートがないままオープンソースが商用ソフトウェアに組み込まれた場合、オープンソースに依存した開発プロジェクトの生命力はいとも簡単に崩れ去ります。管理者不在となったプロジェクトの存在は目新しいものではありませんが、セキュリティの課題に対処するとなると、問題は深刻化します。解決策はシンプルです。成功を確かなものとするためには、皆さんが依存しているオープンソース・プロジェクトを維持するための投資を惜しまないことです」

 

2021年OSSRAレポートで明らかになったその他のオープンソース・リスク・トレンドの中で注目すべきいくつかの点は、下記の通りである。

  • 時代遅れのオープンソース・コンポーネントが商用ソフトウェアに組み込まれている状況が常態化

調査したコードベースのうち、4年以上前の旧バージョンのオープンソース依存ファイルを使い続けているものが85%あった。放置状態のプロジェクトとは異なり、こうした時代遅れのオープンソース・コンポーネントには、活動を続けている開発者コミュニティが存在するものの、彼らによるソフトウェア・アップデートやセキュリティ・パッチは、利用者である顧客によって適用されていない。パッチが当てられないことがセキュリティ・リスクに直結するという明白な事実以上に深刻なのは、時代遅れのオープンソース・コンポーネントを用いることによって、技術的に手に負えないツケを払い続けなければならなくなる事態を招きかねないという点である。それは将来のソフトウェア・アップデートの際に、機能的あるいは互換性の問題として顕在化してくる。

  • 脆弱性を抱えたオープンソースの普及により引き起こされる間違った方向性

2020年の調査では、脆弱なオープンソース・コンポーネントが組み込まれているコードベースの割合は84%で、2019年調査から9%上昇した。同様に高リスクのオープンソース脆弱性が組み込まれているコードベースの割合は、2019年調査の49%から大きく増え、2020年には60%に達している。2019年調査でコードベースに見つかった上位10のオープンソース脆弱性のうちのいくつかは、2020年調査でも上位10にランクインしており、これらが見つかったコードベースの割合はいずれも去年から大きく増加している。

  • 調査したコードベースの90%以上に、ライセンス条件の競合がある、カスタム・ライセンスまたはライセンスがないオープンソース・コンポーネントが組み込まれている

2020年に調査したコードベースのうち、ライセンス条件の競合があるオープンソースを含んだものは65%だった。典型的なものは、GNU GPL(General Public License)と競合していた。また、ライセンスのない、またはカスタム・ライセンスのオープンソースを使用しているコードベースは26%あった。こうした問題は、著作権侵害ないし訴訟のリスクの観点から精査されるべきである。特に、合併・買収取引などでは、そのことが懸念材料となることがある。

 

オープンソース・ソフトウェアに潜むリスク、並びにその対処についての詳細は、下記より入手可能。

https://www.synopsys.com/ja-jp/software-integrity/resources/reports/open-source-security-risk-analysis.html?cmp=pr-sig&utm_medium=referral

ブログは下記より参照可能。

https://www.synopsys.com/blogs/software-security/ja-jp/open-source-trends-ossra-report/?cmp=pr-sig&utm_medium=referral

ウェビナーは下記より参加可能。

https://www.brighttalk.com/webcast/18289/488201

 

シノプシス ソフトウェア・インテグリティ・グループについて

シノプシスのソフトウェア・インテグリティ・グループは、開発チームが安全で高品質のソフトウェアを構築し、リスクを最小限に抑えながら開発スピードと生産性を最大化することを支援している。アプリケーション・セキュリティのリーディング・カンパニーとして認められているシノプシスは、静的解析、ソフトウェア・コンポジション解析、および動的解析ソリューションを提供し、チームが独自開発しているコード、オープンソース・コンポーネント、およびアプリケーションの動作の中に潜む脆弱性や不具合をすばやく特定/修正できるようにする。業界をリードするツール、サービス、ならびに専門技術の組み合わせにより、企業/団体がDevSecOpsの中で、またソフトウェア開発ライフサイクルを通じて、セキュリティと品質を最適化できるよう支援している企業はシノプシスのみである。

詳細な情報は、https://www.synopsys.com/ja-jp/software-integrity.htmlより入手可能。

 

シノプシスについて

Synopsys, Inc.(Nasdaq上場コード:SNPS)は、我々が日々使用しているエレクトロニクス機器やソフトウェア製品を開発する先進企業のパートナーとして、半導体設計からソフトウェア開発に至る領域(Silicon to Software)をカバーするソリューションを提供している。電子設計自動化(EDA)ソリューションならびに半導体設計資産(IP)のグローバル・リーディング・カンパニーとして長年にわたる実績を持ち、業界で最も広範囲をカバーしたアプリケーション・セキュリティ・テスティング・ソリューションならびにサービスを提供しているS&P 500カンパニーである。シノプシスは、最先端の半導体を開発しているSoC(system-on-chip)設計者、よりセキュアでハイ・クオリティなコードを開発しているソフトウェア開発者に、革新的製品の開発に欠かせないソリューションを提供している。

詳細情報は、https://www.synopsys.com/ja-jpより入手可能。

# # #

 

Synopsysは、Synopsys, Inc.の登録商標または商標です。

その他の商標や登録商標は、それぞれの所有者の知的財産です。

 

<お問い合わせ先>

 

日本シノプシス合同会社  ソフトウェア・インテグリティ・グループPR事務局

(井之上パブリックリレーションズ内)

担当:塚田・渡辺

Email:synopsys@inoue-pr.com