OSS脆弱性管理の課題とベストプラクティスとは――日本シノプシス：＠ITセキュリティセミナー2018.6-7

日本シノプシス ソフトウェア インテグリティ グループ シニア・セールス・エンジニア 吉井雅人氏

　＠ITは、2018年6月22日、東京で「＠ITセキュリティセミナー」を開催した。本稿では、日本シノプシスの講演「OSSの脆弱性管理の課題と効率的な解決策」の内容をお伝えする。

　オープンソースソフトウェア（OSS）の脆弱（ぜいじゃく）性を狙った攻撃が目立つようになってきた。2014年4月に発生したOpenSSLの脆弱性をはじめ、Apache Struts 2の脆弱性が情報漏えいを招くケースが増えている。2017年にはOSSに関して4898件の脆弱性が見つかった。

　日本シノプシスの吉井雅人氏は「OSSは日々バージョンアップし情報入手や依存関係の把握などが難しい側面があります。そのため、脆弱性の特定、管理、監視が課題になりやすいのです」と説明する。

　OSSを安全に利用し続けるためには、利用しているOSSと、そのバージョンを正確に把握すること、OSSコミュニティーの動向をチェックすること、日々新たに検出される脆弱性を把握することが求められる。こうした取り組みを支援するソリューションが「Black Duck」だ。

　「Black Duckは、巨大なOSSデータベースで自動的にOSSを特定します。また、最新の状態をBOMで管理し、ソフトウェア開発ライフサイクル管理に組み込ます。OSSコミュニティーの動向を監視する機能も備えます」（吉井氏）

　この他、日本シノプシスは、静的解析ツール「Coverity」、動的解析ツール「Seeker」「Defensics」などを提供。吉井氏は「戦略策定からサポートサービスまでをトータルで提供できることが強みだ」と訴えた。

OSS脆弱性管理の課題とベストプラクティス