ソフトウェア開発に欠かせないオープンソースソフトウェア（OSS）とは？〜安全に活用するために知っておくべきリスク〜

みなさん、こんにちは。リックソフト 営業の伊藤です。

ソフトウェア開発に必要不可欠なOSS（オープンソースソフトウェア）ですが、みなさんは自社のソフトウェアにどんなOSSが使われているか、利用状況は把握できていますか？

OSSの利用には様々なメリットがありますが、同時にリスクも存在します。

本日はOSS利用上の注意点をご説明いたします！

■OSS（オープンソースソフトウェア）とは？

オープンソースとは、ソースコードを誰でもアクセスできるようにし、自由に改良や再配布することを許可したものです。

一からソフトウェアを開発するのには多大な時間と労力を要しますが、既に出来上がっているオープンソースを利用すればその手間を大幅に減らすことが可能です。

ソフトウェアにおけるOSSの利用割合は年々増加の傾向にあり、現在、ソフトウェア製品の90％以上の実装にOSSが利用されていると言われています。

なぜオープンソースソフトウェア（OSS）が使われるの？

OSSの利用には以下のようなメリットがあります。

• 開発のスピードアップ（⇒ 車輪の再開発が不要になる）
• 信頼性（⇒オープンソース・コミュニティによって、常に最新版に更新される）

■必要不可欠なOSSですが、利用には課題やリスクがあります！

課題

• オープンソースの利用状況が把握できない
• OSSの知識を持った技術者不足
• 開発元にバグ修正の責任はない⇒バージョンアップの管理が煩雑

リスク

• 脆弱性・セキュリティによるリスク
• ライセンス違反・訴訟リスク

■脆弱性・セキュリティによるリスクって何？

OSSは誰でも自由に改良、再配布することができるということから、頻繁に利用されているOSSであれば
世界中にいるユーザーの誰かがソースコードの不具合を見つけ、修正や改良が行われています。

公開されたセキュリティ脆弱性にはパッチやバージョンアップ等の対策が必要となり、何も対策を行わず修正前のソフトウェアを利用し続けた場合、脆弱性を突いたサイバー攻撃を受ける可能性があり非常に危険です。

脆弱性を突いたサイバー攻撃により、「個人情報の窃取」「IT基盤の障害に伴う業務停止」といった被害もでております。

OSSを利用する場合には常にセキュリティ脆弱性の情報を確認し、セキュリティ脆弱性のないバージョンを利用することが重要です。

■ライセンス違反・訴訟リスクって何？

OSSは誰もが自由に利用、再配布可能ですが、何をしても良いと言うわけではありません。

OSSのライセンスにはコピーレフトという著作権に関する概念があり、適用範囲に応じて、ルールに沿って利用する必要があります。

ライセンス違反をした場合は、訴訟に発展してしまうこともあり、製品の販売停止や損害賠償が求められることもあります。

OSSを利用する場合には、開発したソフトウェアにどのようなOSSが利用されているかを把握し、OSSライセンスが要求する条件を満たすことが重要です。

■OSSのリスク、人手で管理するには限界がある！

これまでお話した通り、便利なOSSですが利用にはリスクが伴います。

早期開発と高品質が求められる中、数多く使われているOSSに対して、脆弱性の有無および、コンプライアンスに違反していないかというリスクを、人が確認することは現実問題として難しいのではないでしょうか。

営業として日々お客様との打ち合わせに参加しておりますが、自社で使われている数百、数千あるOSSをExcelで管理していて、もう限界！というお声をよくお聞きします。

お客様からよく聞く課題

• 自社で使われているOSSを把握、管理したい
• 自社で開発しているソフトウェアの品質を担保したい
• ライセンスの管理に時間を割かれることなく、製品開発に集中したい
• 開発スピードを速め、高品質なサービスを提供したい
• 開発コストを削減したい

■OSS利用の課題は WhiteSource を導入してみましょう！

WhiteSourceとはソフトウェアで利用されているOSSを一覧化し、OSSに含まれる既知の脆弱性を通知し、ライセンスのコンプライアンスを管理するソフトウェア構成分析 (Software Composition Analysis : SCA) ツールです。

• ライセンスがコンプライアンスに違反していないか？
• 既知の脆弱性が報告されていないか？

といったことをチェックすることができます。

参考になれば幸いです！

最後まで読んでいただきありがとうございました！