サービスに関する
お問い合わせ

緊急対応 専用窓口

セキュリティの緊急事態が発生したらご遠慮なくお問い合わせください。ご相談は無料です。

セキュリティの
学び場

SHIFT SECURITY セキュリティの学び場 ニュース解説 オープンソースソフトウェアOSSの利活用とそのセキュリティ

オープンソースソフトウェアOSSの利活用とそのセキュリティ

オープンソースソフトウェアOSSの利活用とそのセキュリティ
目次
  • 今回の解説ニュース
  • サプライチェーンにおけるOSS利活用、3つの留意点
  • セキュリティ関連のOSSはどのようなものがあるのか?

こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。

今回の解説ニュース

OSSのセキュリティ確保事例、トヨタやソニー、デンソー、サイボウズ、ヤフー他

経済産業省は5月10日、「OSSの利活用及びそのセキュリティ確保に向けた管理手法に関する事例集」を拡充し、公開した。(記事はこちら)

【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】

オープンソースソフトウェアOSSを利活用するに当たって留意すべきポイントについて取りまとめられた資料が公開されています。OSSがどのように利活用されているかの事例を踏まえて、セキュリティで気を付けるべきポイントについて説明します。

今回の資料は、OSSの管理手法等に関して参考になる取組を実施している企業へのヒアリング等の結果を取りまとめ、OSSを利活用するに当たって留意すべきポイントが整理されています。同事例集にヒアリング調査が掲載されているのは、トヨタ自動車、ソニー、オリンパス、日立製作所、デンソー、サイボウズ、ヤフーなど匿名企業も含む全20社で、その他公開文献の調査から収集した海外事例3件も掲載されています。

サプライチェーンにおけるOSS利活用、3つの留意点

サプライチェーンにおけるOSSの使用について、資料の中で取り上げられている内容を引用しながら説明します。

OSS は、自社における使用のみならず、自社の製品やシステム開発のサプライチェーンを構成する企業等において使用されている可能性がある
例えば、皆さんにとって一番身近なOSSは、スマートフォンで使われているAndroidですね。自社で使っているパソコンのOSや、ホームページを設置しているサーバだけでなく、スマートフォンや家電などの製品の一部として使われていたり、外部委託先の企業でもシステムにOSSを利活用していることが考えられる、と述べられています。
納品物内の使用 OSS を把握し、前述のライセンス対応やバグ・ソフトウェア脆弱性等への対応を自社における OSS 使用時と同じように実施しなければならない
OSSの利活用に必要なライセンスを取得しているか、最新のバージョンを使うなどして脆弱性を含むソフトウェアの不具合に対応できているか、という点について自社で利活用する場合と同様に、外部から受け入れるシステムについても確認する必要がある、と述べられています。
サプライチェーン各社の使用 OSS に関する情報を適切に吸い上げる必要がある
OSSが利用されている情報資産を特定し、脆弱性などが修正されているか確認した上で、その状態が維持されていることを、継続的に確認し続けることが求められます。つまり、OSSの利活用は保守や運用とセットで考える必要があるということになります。

セキュリティ関連のOSSはどのようなものがあるのか?

セキュリティ関連のOSSとして、アンチウイルスのClamAVや、IDSのSnortが有名です。その他にも、システムの一部にOSSを利活用しているセキュリティ製品は数多くあります。

ClamAVとは、オープンソースで提供されているアンチウイルスです。メールの配送経路でウイルススキャンを行うことを主な目的としており、WindowsだけでなくLinuxでも動作することから、様々なシステムで利活用されています。

Snortとは、オープンソースで提供されている不正侵入検知システムです。1998年にリリースされた後に、2013年には主体となる組織がシスコシステムズ社に買収されましたが、現在もコミュニティと共同で開発が続けられています。

その他にも、製品の一部としてOSSが利活用されている場合があります。特に、Webの管理画面を提供するために、複数のOSSが利活用されている場合が多く見られます。しばしば、OSSの脆弱性が発見されることで、セキュリティ製品のアップデートが必要とされることとも、これらの背景が関係しています。

今回は、OSSのセキュリティで気を付けるべきポイントについて説明しました。我々が開発しているセキュリティサービスのS4も、お金がなくてもセキュリティ対策ができる社会を実現したいという思想は、OSSに近いものがあるかもしれません。社会課題としてのセキュリティに今後も真剣に向き合っていきたいと思ってます。

Voicyでニュース解説ラジオ配信中!

今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!

この記事の著者 セキュラジチーム

話題になっているセキュリティニュースやセキュリティに関する疑問を専門家の解説と個性豊かなパーソナリティたちがお送りしています。1日10分で、気軽にセキュリティの知識を深めることができます。放送は月曜・水曜・金曜の朝7時15分。

\ 記事をシェアする /

サービスに関する
お問い合わせ