「100の治療より1の予防」 ルー・シップリー Black Duck Software CEO

寄稿
「100の治療より1の予防」 ベンジャミン・フランクリン(1735年、フィラデルフィアにて)
ルー・シップリー Black Duck Software CEO

 先頃、消費者調査機関のEquifaxが、約1億4300万人の米国の消費者に影響を及ぼす可能性のある、大規模なサイバーセキュリティインシデントがあったことを明らかにしました。このようなことは、絶対にあってはならないことでした。しかし、それが起こったとEquifaxが発表しました。
 今年の5月中頃から7月末まで、犯罪者たちは、ウェブサイトアプリケーションの脆弱性を突き、Equifaxのファイルにアクセスしました。Equifaxが明らかにしたところによると、脆弱性を突かれたのは、Webアプリケーション制作用のフリーオープンソースフレームワーク、Apache Strutsでした。Apache Strutsは、教育や行政、金融サービス、小売り、メディアといった業界の企業Webサイトを構築する目的で、多くのFortune100企業が使用しています。
 3月にEquifaxへの最初の侵入があったとき、Apache Strutsの脆弱性に対するパッチが提供されたものの、オープンソースの既知の、修復可能な脆弱性についてはなんの対応もとられなかったのは、残念ではありますが、驚きでもなんでもありませんでした。
 パッチの提供から6か月も経ち、未だ脆弱性が攻撃可能だったことが、なぜ驚きでもなんでもないのかという理由を説明しましょう。
 Apache Strutsのようなオープンソースソフトウェアの80%から90%は最新のアプリケーションで使用されているコードで構成されていますが、ほとんどの企業・組織が使用しているオープンソースについてはあまり可視化されていません。オープンソースの既知の脆弱性に対するパッチやフィックスがあるときでも、ほとんどの企業には、オープンソースを自動的に識別および監視するプロセスが導入されていません。そのため、それら企業は脆弱性の存在するオープンソースコンポーネントを使用していること、あるいはそれらの修復が可能であることを、知らずにいることがよくあります。
 どちらの場合であるかに関わらず、「100の治療より1の予防」というベンジャミン・フランクリンの昔からの忠告を守っていない企業があまりに多いのが現状です。Equifaxの例でも見られるように、これら企業のそのような姿勢は、自社および顧客を大きなリスクにさらしています。
 もっとも、Apache Strutsの脆弱性が突かれたケースは、3月に最初に報告された、Equifaxへの侵入だけではなかったのです…。
 3月には、日本の決済処理サービスプロバイダーのGMOペイメントゲートウェイ株式会社で、個人データの漏洩があり、同社の顧客である東京都と住宅金融支援機構のWebサイトにその影響が及びました。
 3月9日に検知されたこの問題により、61万4629件の電子メールアドレスと6万1661枚のクレジットカードの番号と有効期限も漏洩しました。GMOペイメントゲートウェイは、発見されたApache Strutsのセキュリティ脆弱性についてのアラートを発し、3月9日時点で漏洩した可能性のある情報についての調査を開始したと発表しました。GMOペイメントゲートウェイは不正アクセスの痕跡の発見後、Apache Strutsを作動させているすべてのシステムを停止させました。GMOペイメントゲートウェイによれば、翌日には、影響を受けたシステムにパッチが適用されました。
効果の期待できないオープンソースのセキュリティおよび管理が、世界中に広まっています。
昨年、Black Duckのオープンソースリサーチ&イノベーションセンター(COSRI)では、M&A取引のために監査された、1,000以上のアプリケーションについての分析を行いました。COSRIの監査分析により、アプリケーションの96%がオープンソースソフトウェアを含んでおり、それらアプリケーションの60%以上が既知のオープンソースセキュリティ脆弱性を含んでいることが明らかになりました。
注目すべきは監査対象となった金融業界向けアプリケーションの60%に、ハイリスクで未解決になっている脆弱性が含まれていたという点です。さらに、COSRIの分析により、監査対象となった小売りおよびeコマース業界で使用されているアプリケーションの83%にハイリスクかつ既知のオープンソース脆弱性が含まれていたことがわかりました。
監査対象のアプリケーション内に識別されたオープンソース脆弱性の存在が周知されてきた期間は、平均で4年を上回っていました。そう、4年以上です。
超高性能な自動システムがリアルタイムで株式取引を実行できる時代に、成功を収めている多くの大規模エンタープライズが、オープンソースに依存して事業を遂行しているにも関わらず、静的なスプレッドシートにてオープンソースの使用状況を追跡しているというのは、信じがたいことです。
それで、何ができるのでしょう?
かつては技術の世界に散見するだけであったオープンソースソフトウェアは、現在ではソフトウェアアプリケーションの世界のいたるところに普及しています。その理由は、開発コストが安く、イノベーションとマーケット投入の時間が短縮できるからです。NetflixやUber、Amazonといった企業は、オープンソースを活用して各々の業界において破壊的な革命を起こそうとしており、オープンソースの使用は今後数年間でまちがいなく加速し続けるでしょう。
つまり、効果的なオープンソースの管理とセキュリティは、ますます重要となるのです。
Microsoftのような商用ソフトウェアとは異なり、クリティカルなオープンソースセキュリティのアップデートは、利用可能となっていたとしても、Equifaxのようなユーザーにはなかなか情報が周知されません。自社でどのようなオープンソースが使用されているのかを理解し、自社のオープンソースパッケージのパッチ、フィックスおよびアップグレードの情報を把握できるかどうかは、ユーザー次第なのです。COSRIの監査分析で明らかなように、多くの企業では、このようなことを効果的なアプローチを採用していないのが現状です。
企業・組織にとってアプリケーションおよびWebサイト内のオープンソースを可視化し、それを管理するためのもっとも効果的な方法は、オープンソース用アプリケーションの監視およびオープンソースコンポーネントのリスト化から、そのオープンソースをオープンソース脆弱性データベースにマッピングするまでのプロセスを自動化することです。そうすることにより、企業・組織は、既知の脆弱性を識別でき、新たなオープンソースの脆弱性が報告されたときには、自社のリストをチェックできるようになります。
このような可視化および警戒により、企業・組織はEquifaxおよび同社の1億5000万人の顧客に影響を及ぼしたオープンソースの弱点から自社およびその顧客を効果的に保護できるようになるのです。さらに、Equifaxにもっとも好ましくないかたちで脚光を浴びた、Apache Strutsの脆弱性を突いた攻撃を次に受けるのは自社かもしれないかどうかを判断するために、場当たり的な対応をとるのも避けられるようになります。
オープンソースソフトウェアは、技術開発やコンテナ、クラウド、モノのインターネット(IoT)をはじめとする、技術のあらゆる分野で重要さを増しつつあります。
ベンジャミン・フランクリンが282年前に言った冒頭の忠告を守る企業が、勝利する企業となるでしょう。
参考:ブラックダックソフトウェア