プレスリリース

フレクセラ、オープン・ソース・ソフトウェアのリスクレポートを発表 情報漏洩事件「Equifax」と同様のサイバー攻撃に警鐘

多数の企業は脆弱性の問題に気が付いていない状況 オープン・ソースの使用に関するポリシーを策定している企業は、わずか37%

リノイ州アイタスカ - 2017年11月21日 - フレクセラ・ソフトウェア合同会社 (本社:東京都港区、以下フレクセラ)は、米信用情報機関大手のEquifaxから1億4300万人の顧客の個人情報(社会保障番号、生年月日、運転免許証、住所、クレジット・カード番号など)流出は、まだまだ氷山の一角にすぎず、このようなインシデントやセキュリティ侵害が今後まだまだ続いていく危険性があることをフレクセラの調査レポートにより発表します。

フレクセラは、400社を超えるソフトウェア・サプライヤ、IoT(モノのインターネット)メーカー、および企業内の開発チームを対象に調査を実施し、その結果をまとめたレポート「オープン・ソースのリスク – 事実か、それとも嘘か」を発表しました。オープン・ソース・ソフトウェア(OSS)を使用することで、ソフトウェア・サプライヤの俊敏性が向上し、短期間での製品開発が可能になります。しかし今回の調査で、すべてのソフトウェア・サプライヤと IoTメーカーが知っておかなければならない、隠れたソフトウェア・サプライ・チェーンの危険性が明らかになりました。

例えば先日アメリカ中を騒がせた、米信用情報機関大手のEquifaxの顧客個人データにアクセスしたハッカーは、Apache Struts CVE-2017-5638 の脆弱性を悪用しました。Apache Strutsは商用システムおよび社内システムで企業がデータを取得し、提供するために広く使用されているオープン・ソース・コンポーネント(Webサーバーのフレームワーク)です。このオープン・ソース・コンポーネントの適用領域によりApache Struts はサイバー攻撃のターゲットとなりました。

このような典型的な例は、フレクセラのレポートよると、商用ソフトウェア製品とIoTソフトウェア製品の全コードの50%はオープン・ソースが使用されているにもかかわらず、実態は次の通りです。

  • OSSポリシーを策定していない:オープン・ソースの調達や、使用に関するポリシーを策定している企業は、わずか37%です。
    • 調査対象企業の63%が、オープン・ソースの調達や使用に関するポリシーを策定していない、もしくは策定しているかわからないと回答しています。
  • OSSを誰も管理していない:調査対象企業の39%が、オープン・ソースのコンプライアンスを管理する担当者が社内にいない、または誰が管理しているかわからないと回答しています。
  • OSSコントリビューターが最善の方法をとっていない:自社がオープン・ソース・プロジェクトに貢献していると回答したのは、調査対象企業の33%です。
    • しかし、オープン・ソース取得と使用に関するポリシーを策定していないと回答した 63%のうち43%は、オープン・ソース・プロジェクトに貢献していると回答しています。

フレクセラの製品管理担当バイス・プレジデント、Jeff Luszcz は次のように述べています。
「オープン・ソースが圧倒的に支持されているという事実から目をそらすことはできません。すぐに使用できるコードは製品を市場投入するまでの時間を短縮してくれます。ソフトウェア業界の目まぐるしいスピードを考えると、これは重要なポイントです。しかしほとんどのソフトウェア・エンジニアはオープン・ソースの使用状況を管理していません。また、多くのソフトウェア企業のリーダーは、オープン・ソースのギャップが盲点となり、セキュリティとコンプライアンスにリスクが生じることを認識していません」

オープン・ソースのセキュリティ管理/ライセンス管理プロセスがオープン・ソースの急速な普及に対応できておらず、情報が流出、悪用され、企業と顧客を危険にさらしているのです。

また、Jeff Luszcz は次のように述べています。
「オープン・ソース・プロセスは製品とブランドの信頼を守るものです。しかしソフトウェア・ベンダーや IoTベンダーの多くはそこに問題があると気づいていないため、自社や顧客を守ることができないのです。このことが、ソフトウェア・サプライ・チェーン全体を危険にさらしています。たとえば、ベンダーであれば、自社製品がコンプライアンスと脆弱性のリスクにさらされることになります。そしてほとんどの顧客は、自分が使っている製品がオープン・ソース・ソフトウェアとサードパーティ・ソフトウェアで動いていることや、脆弱性の問題がある事実をほとんど認識していません」

# # #

オープン・ソースのリスク – 事実か、それとも嘘か

Flexera Software をフォローする…

Flexera Software について
Flexera Software は、アプリケーション製作者や企業がアプリケーションの利用率とセキュリティを高め、ソフトウェアを通してより多くの価値を得ることができるよう、サポートを提供しています。 Flexera Software のソフトウェア・ライセンシング、コンプライアンス、サイバーセキュリティ、およびインストールの各ソリューションは、変化し続けるテクノロジのリスクとコストに対して継続的なライセンス・コンプライアンス、ソフトウェア投資の最適化、将来に対応できるビジネス組織の実現を支援するソリューションです。 25 年以上にわたり市場を牽引している Flexera Software は、中立的で信頼性の高い知見と専門技術の発信源として、また、製品を通して自動化やインテリジェンスを提供する企業として、80,000 社を超えるお客様から高く評価されています。 詳細は、次の Web サイトを参照してください。 http://www.flexerasoftware.jp

お問い合わせ:

Flexera
Amanda Ingalls
(949) 241-1515
aingalls@flexera.com

*第三者の商標は、それぞれの所有者に帰属します。