Black Duck、「自動車業界におけるオープンソースソフトウェアの 管理と安全確保」に関するレポートを発表

2017年6月9日東京 オープンソースの安全性確保と管理の自動化ソリューションの分野で世界最大手のBlack Duck Software, Inc. (日本法人:ブラック・ダック・ソフトウェア株式会社、東京都渋谷区、以下Black Duck)は本日、『自動車業界におけるオープンソースソフトウェアの管理と安全確保』を公開しました。発表に伴い、Black Duck米国本社CEO兼代表取締役社長のLou Shipleyおよび弊社日本法人社長のGerry Fosnickが、レポートの詳細を説明いたしました。本レポートでは、自動車業界にサービスを提供する自動車メーカーやサプライヤー、テクノロジー企業が、自動車ソフトウェアサプライチェーン全体でオープンソースソフトウェアの使用を管理するための課題を検証し、推奨事項を提示しています。

自動車業界におけるオープンソースソフトウェアの普及率と利用拡大の理由:

Black Duckによる商用アプリケーションのオンデマンド監査でも、自動車アプリケーションの23%がオープンソースコンポーネントで構成されていることが確認されています。オープンソースは開発コストを削減し、開発期間を短縮し、イノベーションを加速します。ソフトウェアに関しては、すべての自動車メーカーは、コアオペレーティングシステムやさまざまな要素を結びつけるコンポーネントなどのコモディティになる部分に費やす時間を短縮し、ブランドを差別化するための画期的機能の開発に注力したいと考えています。オープンソースモデルは、アジャイルな製品開発をあらゆる側面で効率よくサポートします。

オープンソースソフトウェアのセキュリティ:

ソフトウェアセキュリティに関する課題解決は、必要不可欠です。コネクテッドカーといった新しい分野や、自動運転車の登場は、ソフトウェアセキュリティが担う役割の重要度を高めました。コネクテッドカーが自動車業界や運転者に豊富なメリットをもたらす一方で、自動車メーカーとそのサプライヤーは、コネクテッドカーにおけるユーザーのプライバシーとセキュリティを考慮する必要があります。

 

オープンソースソフトウェアは、開発コストを低減し、開発期間を短縮し、イノベーションを加速することが期待されるため、その利用が拡大しています。自動車メーカーが数多くのコンポーネントおよびアプリケーションサプライヤーに依存していることから、オープンソースは、さまざまな経路から車載アプリケーションに侵入してきます。また、オープンソースには、一般的なコンポーネントの脆弱性がハッカーにとって非常に魅力的な標的になるという特徴があります。したがって、自動車メーカーにとって、車載オープンソースアプリケーションの追跡および管理は、大きな課題となっています。

 

オープンソースのライセンスおよびコンプライアンスのリスク:

Black Duckのオープンソースリサーチ&イノベーションセンター(COSRI)が行った、1,000以上の商用コードベースに対するオンデマンド監査の2017年度報告書でもオープンソースライセンスにはライセンスへの抵触が広く確認されています。監査したアプリケーションには平均して147のオープンソースコンポーネントが含まれ、監査したアプリケーションの実に85%にはライセンスに抵触しているコンポーネントが含まれていました。最も多く見られる問題はGPLライセンス違反に関するもので、75%のアプリケーションがGPLファミリのライセンスの影響下にあるコンポーネントを使用していましたが、GPLの義務を遵守していたアプリケーションはそのうち45%のみでした。

オープンソースライセンスに適合していないと、企業は訴訟や知的所有権を損なうなどの重大なリスクにさらされる危険性があります。現代の自動車ソフトウェアエコシステムは、多層のデジタルサプライチェーンによって構成されています。独立した開発者はさまざまなライセンスのもとでコードを提供することができます。例えば、コンポーネントメーカーは、GENIVIコードベースを修復・増補したりして特定の自動車サブシステムに合わせるだけでなく、GENIVIプラットフォーム上で動作するソフトウェアを開発することも可能です。この複雑さがゆえに、オープンソースコンポーネントを含んだ独自コードの所有権を含むライセンスおよびIP管理の課題が存在しています。

自動車サプライチェーン全体でオープンソースリスクの管理:

  1. オープンソースソフトウェアの完全な棚卸:アプリケーションに使用されているオープンソースの完全かつ正確な棚卸(部品表)
  2. 既知のセキュリティ脆弱性にオープンソースをマッピング:オープンソースに含まれる公開されている脆弱性に関する情報を提供する脆弱性情報データベース(NVD)などの公開ソースを参照して、使用しているオープンソースコンポーネント脆弱性を特定
  3. ライセンスおよび品質リスクを特定:オープンソースライセンスへの準拠を確認し、組織は訴訟や知的財産権の侵害などの重大なリスクを回避。古くなった、あるいは品質の低いコンポーネントやアプリケーションに関するリスク追跡して管理
  4. オープンソースのリスクポリシーを強化:
  5. 新たなセキュリティ脅威に対してアンテナを張る:毎年3,500以上の新しいオープンソース脆弱性が発見されているため、アプリケーションの開発が終わってからも新たな脅威を継続的に追跡、監視、管理