• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

速報

OSS使う業務アプリの7割に脆弱性、米ブラック・ダックが警告

高橋 秀和=ITpro 2017/05/19 ITpro

 脆弱性監査を手がける米ブラック・ダック・ソフトウェアは2017年5月19日、オープンソースソフトウエア(OSS)を利用する業務アプリケーションで見つかった脆弱性に関する年次レポートを発表した。OSSを利用する業務アプリケーションのうち67%が脆弱性を含む状態だったという。

ブラック・ダック・ソフトウェア日本法人のジェリー・フォズニック社長。
[画像のクリックで拡大表示]

 同社は企業が開発したアプリケーションのソースコードを解析してOSS由来のコードを検索・監査するソフト「Black Duck Suite」および監査サービスを提供している。2016年に欧米で440社・1071件の業務アプリケーションを脆弱性監査した結果を「2017 Open Source Security and Risk Analysis(OSSRA)」としてまとめた。監査の大半は企業の買収・合併の事前調査に伴うものという。

 1071件の業務アプリのうち、96%がOSSを利用し、そのうちの67%に脆弱性が含まれていたという。「OSSに依存する企業が増える中で、システムを監視してバグを検知・修正する体制を取れていない」(米ブラック・ダック・ソフトウェア セキュリティストラテジ担当副社長のマイク・ピッテンジャー氏)。OSSを使う業務アプリは一つ当たりOSSのコンポーネント(部品)を平均147個含むという。そのうち業務アプリの開発者が把握するコンポーネント数は45%と半分に満たない。業務アプリの複雑さが増していることが背景にあるという。

 脆弱性を含む業務アプリのOSSを個別に見ると、Apache HTTP Serverのファイルアップロード機能の脆弱性が13.8%を占めた。Apache HTTP ServerのJava関連機能の「Apache Commons Collections」が11.8%、Webアプリケーションサーバーの「Apache Tomcat」が10.1%と続く。

調査対象企業のOSSコンポーネントの利用率と重要度高の脆弱性数。
[画像のクリックで拡大表示]

 ピッテンジャー氏は「脆弱性に修正プログラム(パッチ)を充てる責任があるのは業務アプリの開発者だが、ここ3年だけでも1万件を超えて発生する脆弱性を手作業で把握するのは困難だ」と指摘。同社製品などを活用して脆弱性を監査し、早期にバグ修正パッチを適用する体制作りを訴えた。「パッチを適用しなければどうなるか、前週のランサムウエア(WannaCry)騒ぎで明らかだ」(ピッテンジャー氏)。

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

  • 【ニュース解説】

    マイクロソフト、AIでOfficeを刷新

     米マイクロソフトは2017年5月に米国と日本で開催した開発者向け年次イベントで、新サービスや新機能を多岐にわたって発表した。重点的な強化ポイントは、AI(人工知能)、IoT(モノのインターネット)、データベースの三つ。なかでもAIについては、PowerPointなどに組み込んで、刷新といえる大きな…

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

クライアント/OA機器

ネットワーク/通信サービス

セキュリティ

もっと見る