Black Duckオープンソースリサーチ&イノベーションセンター、 「2017オープンソース360°調査」を発表

2017年6月26日

 

企業はオープンソースへの依存とリスクに関する認識を深める一方、

オープンソースのセキュリティ確保や効果的な管理に向けた取り組みに遅れ

オープンソースの安全性確保と管理の自動化ソリューションの分野で世界最大手のBlack Duck Software, Inc. (日本法人:ブラック・ダック・ソフトウェア株式会社、東京都渋谷区、以下Black Duck) が運営するオープンソースリサーチ&イノベーションセンター(COSRI)は本日、「2017オープンソース360°調査」を発表しました。本調査は、世界中でオープンソースの使用が大幅に拡大する中、企業・組織は、オープンソースのセキュリティ確保および運用リスクについての認識を深める一方で、オープンソースの効果的管理に向けた取り組みが遅れていることを指摘しています。

2017オープンソース360°調査」全結果の詳細な説明は、調査結果のCOSRIウェビナーディスカッションに続き、6月26日よりBlack Duckのウェブサイト(URL)で入手可能です。

2017オープンソース360°調査は、アメリカおよびEMEA地域を中心とした819社からの回答に基づいており、その74%がソフトウェア開発者やIT管理・運用者およびIT専門家、システムアーキテクト、開発管理者、セキュリティ専門家によって構成されています。

 

オープンソース利用とその理由について:

調査回答者の60%近くは、「オープンソースの利用が昨年中に増加した」と回答しています。オープンソース利用する理由として、「コスト削減、アクセスが簡単、ベンダーの縛りがないこと(84%)」、「コードをカスタマイズできる/不具合を直接修復できること(67%)」、「より優れた機能や技術的能力(55%)」、「オープンソースの進化およびイノベーションの度合(55%」)などが挙げられています。さらに、回答者は、オープンソースのビジネスへのプラスの影響として、「イノベーションの加速(55%)」、「品質の向上(44%)」などを挙げています。

オープンソース利用に対する懸念材料とその対応:

企業・組織がアジャイルなアプリケーション開発を推進するためにオープンソースの導入を加速する中、本調査の回答者は、その利用についての次の懸念材料を明らかにしています。

  • 知的所有権のライセンスリスク/ロス(66%)
  • 内部アプリケーションがオープンソース脆弱性によるエクスプロイトにさらされるリスク(64%)
  • 外部アプリケーションがオープンソース脆弱性のせいでエクスプロイトにさらされるリスク(71%)
  • コンポーネントの品質が不明(74%)
  • 開発チームが内部ポリシーへの忠実性を損なう(61%)

2017オープンソース360°調査では、調査回答者の半数近くが、上記のような懸念を抱いているにも関わらず、オープンソースの選択および承認に関して各々が所属する企業・組織に正式なポリシーが存在しないことが明らかにされています。また、オープンソースの利用管理のために「自動化したプロセスを採用している」と答えたのは15%にとどまっています。

 

また、回答者は所属する企業・組織に対して、オープンソースの管理およびセキュリティ確保に関して「中程度」の評価をしており、半数をわずかでも超えているのは次のような点です。

  • 関連するライセンスを遵守している(54%)
  • 既知のセキュリティ脆弱性を認識している(55%)
  • オープンソースのどのバージョンが現在どこに統合され展開されているか知っている(54%)
  • 内部ポリシーを遵守している(44%)

 

Black DuckCEOLou Shipleyは次のようにコメントしています。「『2017オープンソース360°調査』の結果は、世界中のあらゆる業界のさまざまな規模の企業とかかわってきた当社の経験とぴったり一致しています。企業は、経済的また生産性の観点から大量のオープンソースを利用しています。しかしながら、ほとんどの企業はオープンソースのセキュリティ確保と管理という面では非効率な管理・運用をしていると言わざるを得ません。いまやオープンソースは、最新アプリケーションのコードのうち8090%を占めています。そしてこのアプリケーションレイヤーこそハッカーにとって主な標的となっているのです。つまり、既知のオープンソース脆弱性によるエクスプロイトは、ほとんどの企業・組織が直面する、アプリケーションのもっとも大きなセキュリティリスクを代表するものとなっているのです」

2017オープンソース360°調査では、オープンソース脆弱性の追跡および修復について企業・組織が「今でも主に内部リソースによる手動プロセスに依存している(53%)」ということが示されています。「既知のオープンソース脆弱性を追跡し自動的に識別し修復する」とした回答者はわずか27%しかいませんでした。シプリーはこの結果について、「当社が顧客に実施したオープンソース監査の結果と非常によく一致している」とも言っています。

Black Duckのオンデマンド事業部門は、主に企業の合併吸収に関連する数百のオープンソースコードの監査を実施しています。先ごろ発行した「オープンソースセキュリティおよびリスク分析OSSRA」では、2016年に監査を行った1,071のアプリケーションを分析した結果、オープンソースの使用(アプリケーションの96%にオープンソースが含まれていた)とオープンソースセキュリティ脆弱性の重大リスク(アプリケーションの60%以上にオープンソースセキュリティ脆弱性が含まれていた)の両方が高いレベルであったことが報告されています。

この「オープンソースセキュリティおよびリスク分析(OSSRA)」では、監査したアプリケーションのうち金融業界において、1アプリケーションあたり52のオープンソース脆弱性が見つかり、アプリケーションの60%にハイリスクな脆弱性が確認されました。小売業および電子商取引業界のアプリケーションは、最も高い割合でハイリスクなオープンソース脆弱性が含まれ、監査したアプリケーションの83%にハイリスクな脆弱性が見つかっています。

今回Black DuckCOSRIが実施した「2017オープンソース360°調査」は、これまで長年にわたってBlack DuckNorthbridge社が共同で実施してきた「オープンソースの将来調査」に代わるものです。

2017オープンソース360°調査」のその他の特筆すべき結果は、次のようなものです:

オープンソース使用を追跡するメソッド:「開発者が提供する情報(54)」、「手動による設計およびコードのレビュー(36)」、「使用しているオープンソースのインベントリをスキャンする(33)」。

オープンソース使用のコードをレビューするメソッド:「オープンソースのコードはレビューしない38%」、「オープンソースをスキャンする内部ツール27%」、「オープンソースをスキャンするサードパーティ製ツール28%」。

上手く機能するオープンソースポリシーを策定するためにもっとも重要な要素:「レビュープロセスおよびオープンソース使用要求への承認プロセスの構築42%」、「使用事例に特定した承認済みのオープンソースコンポーネントのホワイトリストおよびブラックリスト化39%」、「使用事例に特定した承認済みのオープンソースライセンスのホワイトリストおよびブラックリスト化39%」。

オープンソース使用が普及している分野:「組織内で使用するために作成したアプリケーション77%」、「顧客が使用するために作成したアプリケーション69%」、「自社のIT運用インフラでの実行69%」。

オープンソース使用が普及している技術分野:「開発ツール、ソフトウェア開発ライフサイクル57%」、「コンテナ、開発運用、仮想化、クラウドコンピューティング53%」、「システム管理、オペレーティングシステム52%」。

オープンソースの貢献:調査した企業の66%が「オープンソースプロジェクト」に貢献していると回答。

 

2017年度のオープンソース360°調査」に協力いただいた企業・組織は以下の通りです(太字は主要協力企業)。AppnovationBareos GmbH & Co. KGBlack Duck SoftwareCapital OneCouchbaseCredativEnterpriseDBGrid Protection AllianceInfoSysOpen HubOpen Invention Network (OIN)Open-XchangeOpmantek(Open Source Academy of Arts, Science and Technology) of PakistanPentahoRed HatRift-ioRocket.ChatSymphony FoundationuniventionWIPROWP Engine