OSS(Open Source Software)は、いたるところで活用されインターネットをはじめ多くのIT技術を支えている。その一方で、二つの重要な問題がクローズアップされている。広く公開されているソフトウェアとしての脆弱性の問題、そしてもう一つがソースコードのライセンス違反というコンプライアンス問題。この二つの問題を同時に解決しようとするのが、Flexera Softwareの「FlexNet Code Insight」だ。同ソフトウェアは、ソースコードに含まれるOSSのコードを解析し脆弱性やライセンス情報を出力してくれる。2018 Japan IT Week 秋の情報セキュリティEXPOでは、Flexera Softwareとオージス総研の共同ブースにおいて同製品が展示されていた。OSSのセキュリティとはどういうものなのか?のぞいてみよう。

  • Flexera Software社とオージス総研の共同ブース

    Flexera Software社とオージス総研の共同ブース

コンプライアンス順守が社会的に広く求められており、自社のみならず取引先にも強く要求する企業が多くなっている。他者が作成したコードなどをプログラマーがコピーして活用し、後にコピーライトやライセンスの記載等を忘れ製品として納品してしまうというタイプのライセンス違反が増え、ソフトウェア開発者の頭を悩ませる。そういった問題の解決策として開発されたのが、今回、紹介する「FlexNet Code Insight」だ。

「FlexNet Code Insight」 は、対象のソースコードをスキャンすることで、そこに含まれるOSSの種類とバージョン、ライセンス情報を自動検出する。検出には、OSSの情報を収集しその特徴を抽出したデータベースであるコンプライアンスライブラリや同社のマルチパターンサーチ技術を活用している。検出に関しては、同社の特許技術「Code Rank」により、OSSのソースコードを二次利用についても詳細に検知。脆弱性レポートでは、NVD(National Vulnerability Database)情報を取り込み、既知脆弱性も含めて検知してくれる。また、開発の際のOSS利用ポリシーを設定することで、開発段階からOSSの不正利用などを監視しながらシステム開発を行うことができる。

  • FlexNet Code Insight の検査画面(向かって左/Webサイトより)。FlexNet Code Insight 脆弱性レポート(向かって右/Webサイトより)
  • FlexNet Code Insight の検査画面(向かって左/Webサイトより)。FlexNet Code Insight 脆弱性レポート(向かって右/Webサイトより)

  • FlexNet Code Insight の検査画面(向かって左/Webサイトより)。FlexNet Code Insight 脆弱性レポート(向かって右/Webサイトより)

ブースでは、「FlexNet Code Insight」のデモを実際に見せてもらうこができた。スキャンはプロジェクト単位で実行、検知画面では、青色で「Copyrights」、ピンク色で「Email/URLs」、緑色で「Licenses」などを表示する。検知部分をクリックすれば、具体的な変更箇所などを色付きで表示してくれる。これは、部分的にOSSを利用している場合でも同様に検知できる。

  • プロジェクトのスキャン開始。スキャンで、いくつかのCopyrights、Licensesなどマッチングした情報が出力される(向かって左)/検知項目をクリックするとコード内の該当場所に移動する
  • 「FlexNet Code Insight」のポータル画面。OSS「ePortal」の現在のセキュリティやライセンスの脆弱性の情報が集約して表示されている(向かって左)。現在のプロジェクトの詳細情報(向かって右)

  • 「FlexNet Code Insight」のポータル画面。OSS「ePortal」の現在のセキュリティやライセンスの脆弱性の情報が集約して表示されている(向かって左)。現在のプロジェクトの詳細情報(向かって右)

  • プロジェクトのスキャン開始。スキャンで、いくつかのCopyrights、Licensesなどマッチングした情報が出力される(向かって左)/検知項目をクリックするとコード内の該当場所に移動する
  • プロジェクトのスキャン開始。スキャンで、いくつかのCopyrights、Licensesなどマッチングした情報が出力される(向かって左)/検知項目をクリックするとコード内の該当場所に移動する

  • プロジェクトのスキャン開始。スキャンで、いくつかのCopyrights、Licensesなどマッチングした情報が出力される(向かって左)/検知項目をクリックするとコード内の該当場所に移動する

  • OSSのコードを部分的に利用しているケースでも検知できる

    OSSのコードを部分的に利用しているケースでも検知できる

今回、Flexera Softwareとオージス総研の共同展示という形で展示されている。オージス総研は、大阪ガスの子会社のユーザー系システムインテグレーターでお馴染みの「宅ファイル便」サービスや「Mule ESB」などのクラウドサービス、セキュリティサービスやデータセンターなど幅広くサービスを展開している。同社はOSS導入サービスにも力を入れており今回、Flexera Softwareの「FlexNet Code Insight」国内唯一の代理店として同製品のサービスの販売を行うという。

今回の展示会では、Flexera Softwareの営業部長 日本・韓国セールス・ディレクター スクワィヤーズ・コートニー氏もブースで製品の広報活動を行っていた。同氏は、「元々同製品は欧州で開発され、そちらでの利用が多い。今年からいよいよアジアで本格的に事業展開をしていくことになった」と同製品の今後の展開について述べてくれた。

  • Flexera Software 営業部長 日本・韓国セールス・ディレクター スクワィヤーズ・コートニー氏

    Flexera Software 営業部長 日本・韓国セールス・ディレクター スクワィヤーズ・コートニー氏

OSSのライセンス問題は、一般で考えられているよりも複雑で、中途半端な知識では開発者が知らない内に加害者になってしまうこともある。ブースの担当者によれば、GPLでOSSを公開していたが、MITのライセンスにロンダリングされてしまったという相談を実際に受けたことがあるそうだ。当人はおそらく気づいていないため納品時は気づかず、外部の人間による指摘で発覚し、ライセンス違反などの社会的な信用問題として後ほど顕在化するリスクとなる。このような状況の解決のためにも同アプリケーションの存在意義は高いといえるだろう。