プレスリリース

フレクセラ、オープン・ソース・ソフトウェアのリスクレポートを発表 情報漏洩事件「Equifax」と同様のサイバー攻撃に警鐘

多数の企業は脆弱性の問題に気が付いていない状況 オープン・ソースの使用に関するポリシーを策定している企業は、わずか37%

リノイ州アイタスカ - 2017年11月21日 - フレクセラ・ソフトウェア合同会社 (本社:東京都港区、以下フレクセラ)は、米信用情報機関大手のEquifaxから1億4300万人の顧客の個人情報(社会保障番号、生年月日、運転免許証、住所、クレジット・カード番号など)流出は、まだまだ氷山の一角にすぎず、このようなインシデントやセキュリティ侵害が今後まだまだ続いていく危険性があることをフレクセラの調査レポートにより発表します。

フレクセラは、400社を超えるソフトウェア・サプライヤ、IoT(モノのインターネット)メーカー、および企業内の開発チームを対象に調査を実施し、その結果をまとめたレポート「オープン・ソースのリスク – 事実か、それとも嘘か」を発表しました。オープン・ソース・ソフトウェア(OSS)を使用することで、ソフトウェア・サプライヤの俊敏性が向上し、短期間での製品開発が可能になります。しかし今回の調査で、すべてのソフトウェア・サプライヤと IoTメーカーが知っておかなければならない、隠れたソフトウェア・サプライ・チェーンの危険性が明らかになりました。

例えば先日アメリカ中を騒がせた、米信用情報機関大手のEquifaxの顧客個人データにアクセスしたハッカーは、Apache Struts CVE-2017-5638 の脆弱性を悪用しました。Apache Strutsは商用システムおよび社内システムで企業がデータを取得し、提供するために広く使用されているオープン・ソース・コンポーネント(Webサーバーのフレームワーク)です。このオープン・ソース・コンポーネントの適用領域によりApache Struts はサイバー攻撃のターゲットとなりました。

このような典型的な例は、フレクセラのレポートよると、商用ソフトウェア製品とIoTソフトウェア製品の全コードの50%はオープン・ソースが使用されているにもかかわらず、実態は次の通りです。

  • OSSポリシーを策定していない:オープン・ソースの調達や、使用に関するポリシーを策定している企業は、わずか37%です。
    • 調査対象企業の63%が、オープン・ソースの調達や使用に関するポリシーを策定していない、もしくは策定しているかわからないと回答しています。
  • OSSを誰も管理していない:調査対象企業の39%が、オープン・ソースのコンプライアンスを管理する担当者が社内にいない、または誰が管理しているかわからないと回答しています。
  • OSSコントリビューターが最善の方法をとっていない:自社がオープン・ソース・プロジェクトに貢献していると回答したのは、調査対象企業の33%です。
    • しかし、オープン・ソース取得と使用に関するポリシーを策定していないと回答した 63%のうち43%は、オープン・ソース・プロジェクトに貢献していると回答しています。

フレクセラの製品管理担当バイス・プレジデント、Jeff Luszcz は次のように述べています。
「オープン・ソースが圧倒的に支持されているという事実から目をそらすことはできません。すぐに使用できるコードは製品を市場投入するまでの時間を短縮してくれます。ソフトウェア業界の目まぐるしいスピードを考えると、これは重要なポイントです。しかしほとんどのソフトウェア・エンジニアはオープン・ソースの使用状況を管理していません。また、多くのソフトウェア企業のリーダーは、オープン・ソースのギャップが盲点となり、セキュリティとコンプライアンスにリスクが生じることを認識していません」

オープン・ソースのセキュリティ管理/ライセンス管理プロセスがオープン・ソースの急速な普及に対応できておらず、情報が流出、悪用され、企業と顧客を危険にさらしているのです。

また、Jeff Luszcz は次のように述べています。
「オープン・ソース・プロセスは製品とブランドの信頼を守るものです。しかしソフトウェア・ベンダーや IoTベンダーの多くはそこに問題があると気づいていないため、自社や顧客を守ることができないのです。このことが、ソフトウェア・サプライ・チェーン全体を危険にさらしています。たとえば、ベンダーであれば、自社製品がコンプライアンスと脆弱性のリスクにさらされることになります。そしてほとんどの顧客は、自分が使っている製品がオープン・ソース・ソフトウェアとサードパーティ・ソフトウェアで動いていることや、脆弱性の問題がある事実をほとんど認識していません」

# # #

オープン・ソースのリスク – 事実か、それとも嘘か

Flexera をフォロー

Flexeraについて
Flexera は、ソフトウェアの購入、販売、管理、保護の方法を根底から変えます。弊社は、ソフトウェア業界を 1 つのサプライ・チェーンとみなし、ソフトウェアおよびテクノロジ資産データ売買のビジネスをより収益性が高く、安全で、効率的なものに変えます。弊社の収益化およびセキュリティ・ソリューションをご利用になれば、ソフトウェアの販売者は、そのビジネスモデルを変革し、経常収益を高め、オープン・ソースのリスクを最小限に抑えることができます。弊社の脆弱性およびソフトウェア資産管理(SAM)ソリューションは、ソフトウェアの購入に伴う無駄や予測不能性を取り除きます。そのため企業は、必要とするソフトウェアやクラウド・サービスのみを購入し、所有しているものを管理し、コンプライアンスとセキュリティのリスクを抑制することができます。これらのソリューションおよびソフトウェア・サプライ・チェーン全体を強化するために、Flexera はテクノロジ資産に関する世界で最も大規模かつ包括的な市場インテリジェンス・リポジトリを構築しました。弊社は、30 年以上にわたる実績を持ち、1200 人を超す従業員は情熱に溢れ、80,000 社以上のお客様が毎年の ROI を大幅に高めるお手伝いをしています。www.flexerasoftware.jp にアクセスしてください。

お問い合わせ:

Flexera
Amanda Ingalls
(949) 241-1515
aingalls@flexera.com

*サードパーティーの商標はいずれも、各所有者の財産です。