コンピュータ・ハードウェアおよび半導体業界は高リスク脆弱性が最も多く、製造、産業機器、ロボット業界が続く
2024年4月17日 東京発 - シノプシス(Synopsys, Inc.、Nasdaq上場コード:SNPS)は本日、2024 オープンソース・セキュリティ&リスク分析(OSSRA:Open Source Security and Risk Analysis)レポートを発表した。第9版となる今回のレポートでは、リスク評価を行った商用コードベースの74%に、高リスクの脆弱性にさらされているオープンソース・コンポーネントが含まれており、前年から54%増加していることが明らかになった。
2024 OSSRAレポートは、2023年に17業界にわたる1,000以上の商用コードベース監査から得られた匿名化された調査結果をシノプシス サイバーセキュリティ・リサーチ・センター(CyRC)が分析し、所見をまとめたものである。本レポートは、セキュリティ/開発/法務部門に、オープンソース・ソフトウェアの導入と利用の動向、セキュリティ脆弱性の蔓延、ソフトウェア・ライセンスとコード品質リスクなど、オープンソース活用の全体像を包括的に提供している。
コードベースに少なくとも1つのオープンソース脆弱性を含む割合は前年と同じ84%だったが、2023年に高リスクの脆弱性を含むコードベースが大幅に増加している。経済不安やそれに伴う技術者のレイオフなどにより、脆弱性のパッチ適用を行うためのリソースが減少したことに起因していると考えられる。高リスクのオープンソース脆弱性(積極的に悪用されている、PoCのエクスプロイトが公開されている、またはリモートコード実行の脆弱性として分類されている)を含むコードベースの割合は、前年の48%から74%に増加した。
シノプシス ソフトウェア・インテグリティ・グループ ジェネラル・マネージャー Jason Schmittは、次のように述べている。「今年のOSSRAレポートは、さまざまな重要産業において高リスクのオープンソース脆弱性が憂慮すべきレベルにまで増加し、サイバー犯罪者に悪用される危険にさらされていることを示しています。2023年はより速く、より少ないリソースでより多くのことをこなさなければならないというソフトウェア・チームのプレッシャーが高まり、それがオープンソース脆弱性の急増につながったと考えられます。悪意ある第三者は、この攻撃ポイントに目をつけるため、オープンソースを効果的に特定/追跡/管理してソフトウェアの安全性を適切に維持することは、ソフトウェア・サプライチェーンのセキュリティを強化するための重要な要素となります」
2024 OSSRAレポートの主な調査結果は以下の通りである。
組織は、時代遅れの、あるいは更新されていないオープンソース・コンポーネントをいまだに使用している。コードベースの91%には、10バージョン以上古いコンポーネントが含まれており、コードベースのほぼ半数(49%)に、過去2年以内に開発活動が行われていないコンポーネントが含まれていた。また、コードベースに含まれるオープンソース脆弱性の公開からの平均年数は2.5年以上であり、4分の1近くのコードベースに10年以上前から存在する脆弱性が含まれていることが分かった。
コンピュータ・ハードウェアおよび半導体の業界は高リスクのオープンソース脆弱性を含むコードベースの割合が業種別で最も高い88%に上り、製造、産業機器、ロボットの業界が87%で続いている。また、ビッグデータ、AI、BI、機械学習の業界は66%だった。宇宙、航空、自動車、運輸、物流の業界は最も少ないが、コードベースの33%に高リスクの脆弱性が含まれていた。
ライセンス・コンプライアンス順守は、効果の高いソフトウェア・サプライチェーン・マネージメントにおいて重要だが、レポートでは、コードベースの半数以上(53%)にオープンソース・ライセンスの競合の問題が見つかり、コードベースの31%は識別可能なライセンスがないか、カスタム・ライセンスのコードを使用していることが判明した。ライセンスに抵触するコードベースの割合が業種別で最も高かったのはコンピュータ・ハードウェアおよび半導体の業界で92%、次いで製造業、産業機器、ロボットの業界が81%だった。ソフトウェアに1つでもコンプライアンス違反のライセンスがあると、知的財産が生み出す利益を失い、修復に時間がかかり、製品の市場投入が遅れる可能性がある。
今回の調査で最も頻繁に観測されたオープンソースの脆弱性の大部分は、不適切な中和(CWE-707)に分類されるものであった。この脆弱性タイプには、さまざまな形のクロスサイト・スクリプティングが含まれており、悪用された場合、非常に深刻な被害をもたらす可能性がある。
2024年OSSRAレポートの詳細は、下記より入手可能。
https://www.brighttalk.com/webcast/18289/612552
シノプシス ソフトウェア・インテグリティ・グループについて
シノプシスのソフトウェア・インテグリティ・グループは、ソフトウェアを開発/提供するための手法の転換を実現する統合ソリューションを提供している。これにより開発チームは、リスクを最小限に抑えながらイノベーションを加速することが可能となる。シノプシスが業界をリードするソフトウェア・セキュリティ対策ツール・ポートフォリオならびにサービスは、世界で最も包括的なソリューションであるだけでなく、サードパーティー並びにオープンソースのツールとの相互運用も実現している。そのため、企業/団体は、現在使用している開発ソリューションを活用しつつ、自社に最適なセキュリティ対策手法を構築することができる。ソフトウェアの信頼性確保に必要となるあらゆる開発ソリューションを提供している企業はシノプシスのみである。
詳細な情報は、https://www.synopsys.com/ja-jp/software-integrity.htmlより入手可能。
シノプシスについて
シノプシス(Nasdaq: SNPS)は、電子設計自動化からシリコンIP、システム検証ならびに妥当性確認に至る、信頼性の高い包括的なシリコン to システム設計ソリューションの提供により、広がりゆく知の時代を切り開いている。幅広い業界の半導体およびシステム開発企業との緊密な協業を通じて、その研究開発能力と生産性を最大限にまで高め、明日の創造力に火をつける今日のイノベーションに貢献している。
詳細情報は、https://www.synopsys.com/ja-jpより入手可能。
# # #
Synopsysは、Synopsys, Inc.の登録商標または商標です。
その他の商標や登録商標は、それぞれの所有者の知的財産です。
<お問い合わせ先>
日本シノプシス合同会社 ソフトウェア・インテグリティ・グループPR事務局
(井之上パブリックリレーションズ内)
担当:塚田・増田
Email:synopsys@inoue-pr.com