昨今、様々なシーンにおいて利活用が進むオープンソース・ソフトウェア(OSS)。日進月歩どころか、もっと短いスパンで移り変わるソフトウェア業界の動き、市場のニーズに対応し製品を市場投入するべく、ソフトウェアエンジニアは“すぐに使用できるオープンソース”を利用することは何も珍しいことではない。しかし、利便性に優れたOSSもぞんざいな利活用を行うと、自らを窮地に追いやる事態を招くかも知れない。

  • フレクセラ・ソフトウェア合同会社営業部長 日本・韓国セールス・ダイレクターのスクワィヤーズ・コートニー氏
  • フレクセラ・ソフトウェア合同会社営シニア事業開発マネージャーの西浦詳二氏
  • フレクセラ・ソフトウェア合同会社営業部長 日本・韓国セールス・ダイレクターのスクワィヤーズ・コートニー氏。写真右:フレクセラ・ソフトウェア合同会社営シニア事業開発マネージャーの西浦詳二氏

  • フレクセラはInstallShieldの開発元でもある
  • フレクセラはInstallShieldの開発元でもある
  • フレクセラは、InstallShieldの開発元でもある

都内で記者向け説明会を行ったフレクセラ・ソフトウェア(Flexera Software)によれば、多数の企業はOSSの利活用を進める一方、OSSを利活用する際のライセンスや使用に関するポリシーを策定していない企業も多いという。フレクセラは、400社以上の商用ソフトウェア・サプライヤー及び企業の社内ソフトウェア開発チームを対象として独自に調査を行った結果、OSSの調達と使用に関する公式ポリシーを「策定している」と回答したのはわずか37%にとどまり、なんと43%は「策定していない」との結果だった。また、残りの19%に至っては「わからない」という回答だ。この調査は主に米国企業を対象として行われたとのことなので、その数値をそっくり日本国内へ当てはめるのはいささか乱暴かもしれないが、傾向としては概ね似た結果になるのではないだろうか。

  • OSSの利活用は非常に進んでいる。しかも、一般企業ITの95%は業務にとってクリティカルな影響を及ぼすだけのOSSを使用しているという

    OSSの利活用は非常に進んでいる。しかも、一般企業ITの95%は業務にとってクリティカルな影響を及ぼすだけのOSSを使用しているという

  • OSS利用の常態化が進むなか、コードの依存関係の理解はもちろん、サブシステム・サプライチェーンのより深い分析等、社内において整備する必要がある

    OSS利用の常態化が進むなか、コードの依存関係の理解はもちろん、サブシステム・サプライチェーンのより深い分析等、社内において整備する必要がある

2014年に発覚したオープンソース・暗号ライブラリ「OpenSSL」の脆弱性による被害は、「Heartbleed」の名称とともに読者の皆さまであれば記憶に新しいのではないだろうか。また同様に、オープンソース・Webアプリケーションフレームワークの「Apache Struts2」に潜んでいた脆弱性を突いた事件も、その被害の大きさや影響範囲の広さと合わせ印象に残っている方も多いことだろう。これらに共通するのは、ともにオープンソースであること。「問題が生じた場合、その責任の所在はどこなのか?」という課題が生じてしまう。

しかも、調査の結果39%が驚くことにOSSのコンプライアンスを管理する担当者が社内に存在していない、誰が管理しているのかさえわからないという事態に。そうなってしまうと、事態の収拾も遅々として進まず適切な対応も行えない。また、OSSの利活用に関しては単に脆弱性の問題だけではなく、その使用に関するライセンスにも気を配らねばならない。ライセンス条項に違反し多額の罰金や訴訟費用を追わねばならないというリスクも潜んでいる。

  • 便利なOSSではあるが、脆弱性のリスクをはらんでいることを忘れてはならない

    便利なOSSではあるが、脆弱性のリスクをはらんでいることを忘れてはならない

  • これは米国の信用情報企業Equifax社においてWebアプリケーションフレームワークの「Apache Struts2」の脆弱性が引き金となり個人情報が流出してしまった事例。個人の信用度やクレジットカードの情報など深い個人情報が流出してしまった

    これは米国の信用情報企業Equifax社においてWebアプリケーションフレームワークの「Apache Struts2」の脆弱性が引き金となり個人情報が流出してしまった事例。個人の信用度やクレジットカードの情報など深い個人情報が流出してしまった

そういった状況を踏まえ、フレクセラではOSSのリスクを再確認し、リスク管理を行うよう提唱している。まず挙げたのは、OSSのライセンス管理とコンプライアンス管理の基本を組織のあらゆるレベルの従業員に対する教育だ。また、OSSに対するポリシー策定や利活用したOSSを追跡できるような仕組みを担うオープンソース・レビューボード(OSRB)の設置も肝要だという。

そして、ソフトウェア構成分析ツール等を用いて実作業者が手を煩わせることなくOSSの検出・管理が行える仕組み作り、加えて、過去の資産はもちろんこれから世に送り出す製品で利活用しているOSSの追跡・レポーティングが行える環境作り等が重要であるとしている。

  • OSSのポリシーはどのようなものか、現時点でのOSS承認プロセスはどうなっているか等のOSRB領域、

    OSSのポリシーはどのようなものか、現時点でのOSS承認プロセスはどうなっているか等のOSRB領域、

  • OSSに脆弱性が含まれないことを保証するプロセスや仮に脆弱性が発見された際の対処プロセス等のITセキュリティ領域、

    OSSに脆弱性が含まれないことを保証するプロセスや仮に脆弱性が発見された際の対処プロセス等のITセキュリティ領域、

  • OSS利用に必要なライセンス表示を遵守されているかや納品物に含まれるOSSの情報開示をどのように管理するか等の法務領域など、多方面での備えが必要

    OSS利用に必要なライセンス表示を遵守されているかや納品物に含まれるOSSの情報開示をどのように管理するか等の法務領域など、多方面での備えが必要

  • OSSを利活用する際に肝要となるガバナンスのワークフロー例がこちら。ガバナンスを徹底させることで自社のリスクヘッジはもちろん、万一脆弱性等の問題が発生したとしてもスムーズな対処が行えるようになる

    OSSを利活用する際に肝要となるガバナンスのワークフロー例がこちら。ガバナンスを徹底させることで自社のリスクヘッジはもちろん、万一脆弱性等の問題が発生したとしてもスムーズな対処が行えるようになる

問題によっては企業活動に甚大な影響を与えかねないにも関わらず、OSSに関するポリシーやオープンソース・レビューボード(OSRB)のような適切なチームを組織していない企業は思いの外多い。フレクセラによれば、ソースコードの大半がOSSやサードパーティで作られたものも見受けられるという。「うちは全て自社で開発しています」と明言していても、解析の結果実際はOSSをバンバン利用していたという想定外の事態も起こりうるわけだ。

先にも述べたが、現在のソフトウェア開発においてOSSは切っても切り離せない存在だ。正しくOSSを理解し、OSSの扱い・責任者を明確化し、万一問題が生じたとしても瞬時に対応できるような体制を準備しておく必要をもう一度、再確認し行動に移して欲しいとのことだ。甚大な影響が顕在化してしまってからでは手遅れとなる。