シノプシスによる調査の結果、最良のソフトウェア・サプライチェーン・セキュリティ対策には包括的なSBOM整備が不可欠であることが明らかに

コードベースの84%に1つ以上の既知の脆弱性が含まれていることが判明、昨年の調査結果から約4%増加

シノプシスは本日、今年で第8版となる2023 オープンソース・セキュリティ&リスク分析（OSSRA：Open Source Security and Risk Analysis）レポート(＊1)を公表した。2023年版OSSRAレポートは、企業/団体が買収などで入手した1,700を超える商用ならびに内製コードベースを調査した結果をシノプシス サイバーセキュリティ・リサーチ・センター(*2)（CyRC）が分析し所見をまとめたものである。17種の業界におけるオープンソース・ソフトウェア利用のトレンドが明らかとなっている。

*1) https://www.synopsys.com/ja-jp/software-integrity/resources/analyst-reports/open-source-security-risk-analysis.html?cmp=pr-sig&utm_medium=referral
*2) https://www.synopsys.com/ja-jp/software-integrity/cybersecurity-research-center.html?cmp=pr-sig&utm_medium=referral

2023年OSSRAレポートは、企業/団体のセキュリティ/法務/リスク管理/開発部門がオープンソースに潜むセキュリティやライセンス上のリスクの全体像をより良く把握できるようにすることを目的として、商用ソフトウェアに組み込まれたオープンソースのセキュリティ/コンプライアンス/ライセンス/コード品質のリスクの現状についての詳細な調査結果を提供している。本年の調査では、コードベースの圧倒的多数（84%）に1つ以上の既知の脆弱性が含まれていることが明らかとなった。これは、昨年の調査結果から約4%の増加となる。
　　　　　
オープンソース/内製/商用コードに潜んでいるビジネス上のリスクを軽減するための第一歩は、どこでどうやって入手したものであれ、ビジネスで用いる全てのソフトウェアの包括的なリストを整備することである。この完全なリスト、すなわちソフトウェア部品表（SBOM：Software Bill of Materials）があって初めて、企業/団体は、Log4Shellのような新たなセキュリティ上の脅威によってもたらされるリスクに対処するための戦略を構築することが可能となるのである。
　　　　　
シノプシス　ソフトウェア・インテグリティ・グループ　ジェネラル・マネージャー　Jason Schmittは、次のように述べている。「2023年のOSSRAレポートの結果は、今日のほとんどの種類のソフトウェアの基礎となるオープンソースの現実を浮き彫りにしています。今年の調査では、オープンソース・コンポーネントの平均数が13%増加（528から595へ）しており、アプリケーション内のすべてのオープンソース・コンポーネントと、そのライセンス、バージョン、パッチの状況をリストアップした包括的なSBOMを導入することの重要性が一層強く示された結果となっています。これは、ソフトウェア・サプライチェーンへの攻撃を防御することによって、ビジネス・リスクを理解し、低減するための基礎的な戦略です」
　　　　　　
2023年版OSSRAレポートの主な内容は以下の通りである。

• 過去5年間のOSSRAデータからオープンソースの利用が飛躍的に伸びていることが明らかに
  世界的なパンデミックによって、授業や講師と生徒のやり取りのオンライン化が一層浸透し、エドテックでのオープンソース導入が進み163%の伸びを示している。オープンソースの成長が大きく伸びたその他の業種としては、航空宇宙/航空機/自動車/運輸/物流が97%増、製造/産業/ロボット工学が74%増となっている。
• 過去5年間で高リスクの脆弱性も驚くべき速度で増加
  2019年以降、リテール/eコマースの高リスク脆弱性は557%と急増した。それに対して、コード全体の89％がオープンソースであるIoTでは、同じ期間に高リスクの脆弱性が130％増加している。同様に、航空宇宙/航空機/自動車/運輸/物流の分野では232%増加したことが判明している。
• ライセンスのないオープンソース・コンポーネントを使用している企業/団体は、ライセンス付きのコンポーネントを使用している企業/団体よりも高い著作権法違反リスクにさらされている
  コードベースの31％が、ライセンスが明確でない、またはカスタム・ライセンスを使用したオープンソースを使用していることが明らかとなった。昨年のOSSRAのレポートから55％の増加となる。オープンソース・コードに関連するライセンスがない状況や、ライセンシーにとって好ましくない条件が付加されたものである可能性があるオープンソースのカスタム・ライセンスは、知的財産権(IP)の侵害あるいはその他の予測される事態について法的側面からの評価が必要になるケースが多い。
• コードベースの大半が、利用可能なコード品質とセキュリティパッチを適用していない
  リスク診断を実施した1,481の調査対象コードベースのうち、91%に古いバージョンのオープンソース・コンポーネントが含まれていた。企業/団体が正確で最新のSBOMを整備していない限り、古いコンポーネントは、高リスクな脆弱性が明らかになるまで忘れ去られることになるであろう。

シノプシス　ソフトウェア・インテグリティ・グループ　シニア・ソフトウェア・ソリューション・マネージャー　Mike McGuireは、次のように述べている。
「先進の開発スピードを維持しつつオープンソースのリスクを管理するためには、アプリケーションの内容を完全に可視化することが重要です。この可視性をアプリケーションのライフサイクルを通じて維持することで、企業/団体は、リスク回避に関する十分な情報を得た上でタイムリーな意思決定を行うために必要な情報を手に入れることができるのです。サードパーティー製ソフトウェアを利用する企業/団体は、そのソフトウェアにオープンソースが含まれていると考えておくのが自然でしょう。このことを確認し、関連するリスクを把握しておくことは、SBOMを整備するのと同じくらいシンプルなことで、自社にとってのソフトウェア・サプライチェーンを保護するために必要な措置を講じているベンダーなら簡単にできることです」
　　　　　
レポートのダウンロード
https://www.synopsys.com/ja-jp/software-integrity/resources/analyst-reports/open-source-security-risk-analysis.html
　　　　　
シノプシス　ソフトウェア・インテグリティ・グループ
https://www.synopsys.com/ja-jp/software-integrity.html