ニュースリリース - 2018年5月15日

シノプシスによる調査の結果、オープンソース・ソフトウェア利用の急拡大に伴って大半のソフトウェア・プログラムが既知の脆弱性やライセンス違反の問題を抱えていることが明らかに

Apache Strutsを組み込んだ調査対象のコードベースの1/3は、Equifax社の大規模データ流出事件を引き起こす原因となった脆弱性を抱えていることが判明

2018年5月15日 カリフォルニア州マウンテンビュー発 - シノプシス（Synopsys, Inc.、Nasdaq上場コード:SNPS）は本日、シノプシスBlack Duckグループによる調査報告書 2018 Open Source Security and Risk Analysis （OSSRA）レポートを公表した。この報告書は、匿名データ化した1,100以上の商用コードベース（2017年時点）の調査結果の分析ならびに所見をまとめたものである。対象となった業界は、車載システム関連、ビッグデータ関連、サイバーセキュリティ関連、エンタープライズ・ソフトウェア、金融サービス、医療関連、IoT関連、製造関連、モバイルアプリ関連である。

目を引くのは、オープンソース・ソフトウェア利用の大幅な増加で、オープンソース・コンポーネントが組み込まれているプログラムは調査対象のアプリケーション全体の96%に上ることが明らかとなった。調査対象となったコードベース（257）に含まれているオープンソース・コンポーネントの平均数は、昨年比で75%の増加となっており、多くのアプリケーションでオープンソースの構成比が自社開発コードよりも高くなった。懸念されるのは、調査したコードベースの78%から少なくとも1つ以上のオープンソース・セキュリティ脆弱性が検出され、コードベースあたり平均で64個もの脆弱性が認められたことである。コードベースに潜む脆弱性の54%以上は、（共通脆弱性評価システムCVSSにおいて）ハイリスクと分類されている脆弱性と考えられる。またコードベースの70％からは、Heartbleed、Logjam、Freak、Drown、Poodleといった広く報道された脆弱性が検出された。

シノプシス　Black Duckグループ　テクニカル・エバンジェリスト　Tim Mackeyは、次のように述べている。「現在のソフトウェアや開発基盤は、オープンソース・テクノロジに大きく依存しており、使用しているオープンソース・コンポーネントの内容を明確に理解しておくことはコーポレート・ガバナンスにとって重要です。今回の報告書から明らかになったのは、オープンソース・ソフトウェア活用の拡大に伴い、それらのコンポーネントに含まれている脆弱性を検出でき、かつ、使っているオープンソースで規定されているライセンス・コンプライアンスに反していないかどうか管理できるツールを活用しているかどうかを開発企業/団体は確認しておく必要があるという点です」

脆弱なオープンソース・コンポーネントは、あらゆる業界で散見される。インターネットやソフトウェア・インフラの業界では、ハイリスクなオープンソース・セキュリティ脆弱性を抱え込んでいるアプリケーションの比率が67%と最高レベルに達している。皮肉な現象だが、サイバーセキュリティ業界で使われているアプリケーションでも、実に41%がオープンソース脆弱性を持っていることが分かった。リスクレベルとしては業界別にみると4番目に位置する。

さらに、Apache Strutsを組み込んだ調査対象のコードベースのうち33%は、Equifax社^*の大規模データ流出事件を引き起こす原因となった脆弱性を抱えていることも判明した。これは、企業団体が、自社のコードベース内にますます多くの脆弱性を積み上げつつあることを示している。今回の調査で特定された脆弱性は、平均で6年前に公になったものであることも分かった。

* Equifax社：米国の消費者信用情報会社であり、 TransUnion、エクスペリアンと並ぶ三大信用情報会社である。その中でもEquifaxは創業最古（1899年）であり、世界で4億人のクレジットスコアを保有している。

シノプシスのBlack Duckプロダクト・マーケティング・マネージャーであり今回のOSSRAレポートの責任者でもあるEvan Kleinは、次のように述べている。「Equifax社がApache Strutsの脆弱性が原因で大規模な個人情報漏洩に見舞われた際、オープンソースのセキュリティ対策の必要性は大々的に取り上げられました。この事件は2017年の3月に明らかになったにも関わらず、どうやら未だに多くの企業/団体では、自社のアプリケーションにApache Strutsの脆弱性が潜んでいないかどうかのチェックが行われていないようです」

報告書では、コードベースの74%が何らかのライセンス違反を抱えていることも明らかになっている。もっとも多いのがGPL形式に対するライセンス違反である。コードの中にオープンソース・ライセンス違反が含まれている率で、比較的低かったのは小売/Eコマース業界のアプリケーションの61%、最も高かったのはテレコミュニケーションならびにワイヤレス業界で、調査したコードの実に100%がライセンス違反を包含していたことも分かった。

OSSRAレポートの詳細は、下記より入手可能。

シノプシス・ソフトウェア・インテグリティ・プラットフォームについて

シノプシスは、ソフトウェア・インテグリティ・プラットフォームを通じて、ソフトウェアのクオリティとセキュリティを向上させ、それらに関するリスクを開発期間の長期化や開発効率の低下を引き起こすことなく最小化するための最先端のソリューションを提供している。シノプシスはアプリケーション・セキュリティ・テストのリーディング・カンパニーとして高い評価を受けており、静的解析、ソフトウェア・コンポジション解析、動的解析のソリューションを提供している。これにより、ソフトウェア開発企業/団体が独自開発しているコード、用いているオープンソース・ソフトウェア、アプリケーション動作の中に潜む脆弱性や欠陥を短時間で特定/修正することが可能となる。業界をリードするツールならびにサービス、専門技術の組み合わせにより、ソフトウェア開発企業/団体がDevSecOpsプロセスやソフトウェア開発ライフサイクルを通じて最大限のセキュリティとクオリティを達成できるよう支援している企業はシノプシスのみである。

詳細な情報は、https://www.synopsys.com/ja-jp/software-integrity.htmlより入手可能。

シノプシスについて

Synopsys, Inc.（Nasdaq上場コード:SNPS）は、我々が日々使用しているエレクトロニクス機器やソフトウェア製品を開発する先進企業のパートナーとして、半導体設計からソフトウェア開発に至る領域（Silicon to Software）をカバーするソリューションを提供している。電子設計自動化（EDA）ソリューションならびに半導体設計資産（IP）のグローバル・リーディング・カンパニーとして長年にわたる実績を持ち、ソフトウェア品質/セキュリティ・ソリューションの分野でも業界をリードしており、世界第15位のソフトウェア・カンパニーとなっている。シノプシスは、最先端の半導体を開発しているSoC（system-on-chip）設計者、最高レベルの品質とセキュリティが要求されるアプリケーション・ソフトウェアの開発者に、高品質で信頼性の高い革新的製品の開発に欠かせないソリューションを提供している。

詳細な情報は、http://www.synopsys.com/japanより入手可能。