最近のソフトウェア開発チームは、オープンソース・コンポーネントを使用して開発のスピードアップとコストの節約を実現し、コミュニティのイノベーションを活用しています。法律事務所やコンサルティング業界では、クライアント企業がオープンソースを使用しています。また、次の買収対象を洗い出す場合は、オープンソースを多用しているターゲット企業を評価します。Synopsysの最新の「オープンソース・セキュリティ&リスク分析」(OSSRA)レポートでは、分析されたすべてのコードの78%が完全にオープンソースであることがわかりました。
オープンソース・コンポーネントが普及していることは周知されていますが、ソフトウェアライセンスの競合、未知の依存関係、脆弱なコンポーネントの影響は過小評価されるか、見過ごされがちです。デジタル資産に含まれるオープンソースに起因する未解決の問題は、合併や買収(M&A)に悪影響をもたらす可能性があります。合併・買収の契約に携わる場合は、影響の範囲を適切に把握し、取引を台無しにする可能性のある問題を軽減する責任があります。
オープンソース監査に留意する理由
効果的で実用的な監査への第一歩は、監査を行う理由を考えることです。監査の理由は、内部目的ですか?それともリソースが負債ではなく資産であることを証明するためですか?
多くの場合、差し迫ったM&Aアクティビティが監査の契機となります。買い手は、法律、セキュリティ、品質上問題のない優良な資産を求め、売り手は、優良な資産であることを提示したいと考えます。買い手は、引き受けることになるリスクに適切に対処して、取引の価値を適切に評価し、取引を成立させたいと考え、買収対象企業が説明のつかない不可解な重荷を持ち込まないことを確認したいと思っています。また、買収対象企業がライセンスの範囲内でオープンソース・コンポーネントを使用していること、潜在的なサイバー攻撃ベクトルを最小限に抑えていること、一貫した稼働時間を確保できること、対象企業とその顧客のデータがセキュアであることを確認したいと考えています。
経営陣がオープンソースの脆弱性、エクスプロイト、侵害の可能性に関するニュースを目にしたことから、内部オープンソース監査を採用している組織もあります。オープンソース・ライセンス違反による知的財産のリスクを懸念しているチームもあります。組織の選択の動機によって、関与する担当者と目標が変わってきます。
監査に関与する担当者
デジタルトランスフォーメーションへの注目が高まるにつれ、開発とリリースのスピードアップへの期待が高まり、開発チームに大きな負担がかかります。その結果、より多くの時間をイノベーションに費やすことができるようにするため、基本的な機能をオープンソースに依存する傾向が高まっています。
コード監査の準備をする際は、開発チームが厳しい納期の中で可能な限り高品質のコードを作成する作業に専念していることを認識し、利用するオープンソース・コンポーネントに関連していることが多い複雑なライセンス条項を開発者が理解していると思い込まないことが重要です。同じことがセキュリティ脆弱性にも当てはまります。オープンソースの使用規模は、これらのタイプのリスクを手動で追跡する能力をはるかに超えるペースで拡大しています。
通常、上級管理職、法務部門、上級技術マネージャーがオープンソース・リスク管理に関連する戦略、ポリシー、プロセスの確認を担当しますが、開発チームによるオープンソース・ライブラリの使用を管理するための明確な方策が規定されているとは限りません。代替方法では納期に間に合わない可能性がある場合、開発チームは作業を遂行することに重点を置く傾向があります。
監査結果への対応方法
ソフトウェア監査は形態も規模も多種多様ですが、洞察に満ちた実用的な監査結果を得るためには、いくつかの考慮事項に対処する必要があります。
- コピーレフト・ライセンスおよびその他のライセンス義務
- ライセンスのないコード
- オープンソースのセキュリティ脆弱性
- オープンソースに伴う運用リスクと技術的負債
監査レポートでは、これらの領域に力点を置く必要があります。また、当事者は、経験豊富で個別の質問に明確に答えることができる監査人の立ち会いの下で、各項目をレビューする必要があります。監査で明らかになった結果は、M&Aに際しての事業評価と取引条件に重大な影響をもたらす可能性があるため、このステップは重要です。
たとえば、事業を展開している業界、アクセスするデータの機密性、ソフトウェアの方向性(外部向け/内部向け)などに応じたリスクレベルは、ライセンスによって異なります。セキュリティの脆弱性についても同じことが言えます。Webベースのアプリケーションと組み込みアプリケーションとでは、受ける影響が異なる可能性があります。これらの考慮事項に関しては、監査グループによる専門的なアドバイスを受けることができます。
知識の活用方法
監査の結果は、何らかの変更が必要かどうかを判断するために役立ちます。監査によって期待通りの結果を得られることは稀です。2021年からセキュリティ監査の分析を行ったところ、スキャンされたアプリケーションの97%がオープンソースを使用しているにもかかわらず、企業は使用されているオープンソースの半分程度しか認識していないことがわかりました。分析対象のコードベースの大半に、ライセンスとセキュリティの問題があります。
オープンソース監査の出力結果によって、使用中のオープンソース・コードだけでなく、コード内の既知の脆弱性とライセンスコンプライアンスのリスクに関する明確な情報を得ることができます。この情報により、買収対象企業のコード内容を明確に把握でき、先に進む準備を整えるために役立ちます。
内部目的で独自開発のコードを評価することを目的とする場合、監査結果は、将来の開発業務に向けてオープンソース・リスク管理ポリシーを作成するための情報を提供します。M&Aまたはデューデリジェンスのための監査では、監査結果は取引の価値とリスクを決定するために必要な極めて重要な情報を提供します。
オープンソース監査の必要性
オープンソース監査を行う一般的な理由として、合併・買収があります。オープンソースの使用とリスクの影響度に関する対象コードのスナップショットにより、買い手または売り手が取引を進めるために役立つ、喉から手が出るほど欲しい情報を得ることができます。買い手は、引き受ける可能性のあるリスクを可視化することができ、売り手は、デューデリジェンスの前に事前にリスクに対処する機会を得ることができます。買収取引を予定している場合は、Black Duck®監査サービスチームが取引進行方法の決定をお手伝いします。
Continue Reading
