脆弱性監査を手がける米ブラック・ダック・ソフトウェアは2017年5月19日、オープンソースソフトウエア(OSS)を利用する業務アプリケーションで見つかった脆弱性に関する年次レポートを発表した。OSSを利用する業務アプリケーションのうち67%が脆弱性を含む状態だったという。

ブラック・ダック・ソフトウェア日本法人のジェリー・フォズニック社長。
ブラック・ダック・ソフトウェア日本法人のジェリー・フォズニック社長。
[画像のクリックで拡大表示]

 同社は企業が開発したアプリケーションのソースコードを解析してOSS由来のコードを検索・監査するソフト「Black Duck Suite」および監査サービスを提供している。2016年に欧米で440社・1071件の業務アプリケーションを脆弱性監査した結果を「2017 Open Source Security and Risk Analysis(OSSRA)」としてまとめた。監査の大半は企業の買収・合併の事前調査に伴うものという。

 1071件の業務アプリのうち、96%がOSSを利用し、そのうちの67%に脆弱性が含まれていたという。「OSSに依存する企業が増える中で、システムを監視してバグを検知・修正する体制を取れていない」(米ブラック・ダック・ソフトウェア セキュリティストラテジ担当副社長のマイク・ピッテンジャー氏)。OSSを使う業務アプリは一つ当たりOSSのコンポーネント(部品)を平均147個含むという。そのうち業務アプリの開発者が把握するコンポーネント数は45%と半分に満たない。業務アプリの複雑さが増していることが背景にあるという。

 脆弱性を含む業務アプリのOSSを個別に見ると、Apache HTTP Serverのファイルアップロード機能の脆弱性が13.8%を占めた。Apache HTTP ServerのJava関連機能の「Apache Commons Collections」が11.8%、Webアプリケーションサーバーの「Apache Tomcat」が10.1%と続く。

調査対象企業のOSSコンポーネントの利用率と重要度高の脆弱性数。
調査対象企業のOSSコンポーネントの利用率と重要度高の脆弱性数。
[画像のクリックで拡大表示]

 ピッテンジャー氏は「脆弱性に修正プログラム(パッチ)を充てる責任があるのは業務アプリの開発者だが、ここ3年だけでも1万件を超えて発生する脆弱性を手作業で把握するのは困難だ」と指摘。同社製品などを活用して脆弱性を監査し、早期にバグ修正パッチを適用する体制作りを訴えた。「パッチを適用しなければどうなるか、前週のランサムウエア(WannaCry)騒ぎで明らかだ」(ピッテンジャー氏)。