現代のソフトウェア開発において、オープンソースソフトウェア(OSS)の活用は不可欠となっているが、その普及に伴い新たな脅威も次々と顕在化している。近年では、1つの脆弱性が世界規模で連鎖的な影響を及ぼすケースが増加しており、ソフトウェア開発における脆弱性管理の重要性を浮き彫りにしている。

さらに、欧州サイバーレジリエンス法や自動車産業におけるUN-R155など、新たな法規制への対応も迫られるなか、従来の手作業による管理では限界を迎えつつある。特に製造業では、数多くのサードパーティ製ソフトウェアが複雑に絡み合い、それらに含まれるOSSの完全な把握は困難を極める。

このような状況下で注目を集めているのが、バイナリファイルからOSSコンポーネントを高精度で検出し、包括的な管理を可能にするツール「CodeSentry」だ。提供元のユビキタスAIでソフトウェア開発支援ツール製品を担当するエンベデッド第3事業部 ビジネスグループ担当部長 植田宏氏に、製品の特長と最新のOSS管理動向についてお話を伺った。

深刻化するOSS管理の課題

「現在のソフトウェア開発において、OSSの利用は避けられません。しかし、そこにはライセンス問題やセキュリティの脆弱性が潜んでいる可能性があります」と、植田氏は警鐘を鳴らす。

  • (写真)株式会社ユビキタスAI エンベデッド第3事業部 ビジネスグループ担当部長 植田 宏 氏

    株式会社ユビキタスAI エンベデッド第3事業部 ビジネスグループ担当部長
    植田 宏 氏

OSS管理において、まず直面する大きな課題がライセンス管理だ。GPL、Apache License 2.0をはじめとする多様なライセンスが存在し、それぞれの複雑な利用条件が掲げられている。ライセンス違反は著作権侵害に該当する可能性があり、訴訟リスクにも直結することから、適切な管理が不可欠といえる。

ライセンス管理の課題に加えて、近年特に注目を集めているのがセキュリティリスクの問題だ。OSSの脆弱性がもたらす、リスクの深刻さを示す代表的な事例として、2021年に報告されたLog4jの脆弱性が挙げられる。この脆弱性は、非常に多くのシステムで使用されていたJavaベースのログ機能に関するもので、任意のコードを実行できる性質を持っていたため、システムの乗っ取りが可能となり、世界中の企業が緊急の対応を迫られる事態となった。

OSSなしではもはや開発が成り立たない現代において、その包括的な管理体制の構築は企業の存続を左右し得る重要課題となっている。

法規制対応に向け、高まるSBOMの重要性

さらに企業に求められているのが各種法規制への対応だ。ソフトウェアのセキュリティに関する法規制は、世界的に強化される傾向にある。2021年5月には、米 バイデン大統領の行政命令により、政府機関に納入されるソフトウェアについて、原則としてSBOM(Software Bill of Materials:ソフトウェア部品構成表)の作成と提供が要請されることとなった。

SBOMとは、製品に含まれるすべてのソフトウェアコンポーネントを一覧化した部品表のこと。使用されているOSSやそのバージョン、ライセンス情報などを明確にすることで、構成要素の透明性を確保し、セキュリティリスクの特定や迅速な脆弱性対応を可能にする。

欧州では新たにサイバーレジリエンス法(以下、CRA)が制定され、製品のセキュリティ要件としてSBOMの作成が求められている。自動車業界においても、サイバーセキュリティに関する国際基準であるUN-R155により、車両に搭載されるソフトウェアの構成を明確にすることが要求されており、その対応手段としてSBOMの重要性が増しているという。

高精度なバイナリ解析による優れた検出能力を持つCodeSentry

こうした多岐にわたる課題に直面する企業には、人手による管理を超えた、システマティックな対応の必要性が高まっている。

CodeSentryは、米国CodeSecure社が開発し、ユビキタスAIが国内で販売・サポートを行うOSS管理ツールだ。ソフトウェアを構成するバイナリファイルからOSSコンポーネントを検出し、脆弱性チェックを行うとともに、CycloneDX、SPDX、VEXといった標準的な形式でのSBOM生成を自動で行う。

CodeSentryの最大の特長は、その優れたバイナリ解析能力にある。特に製造業など、サードパーティから提供されるバイナリ形式のライブラリを多用する開発現場において、その真価を発揮するという。他社のツールと比較して数倍以上の検出率を実現しており、この高い検出精度を支えているのが、豊富なOSSデータベースだ。データベースは頻繁にアップデートされ、最新の脆弱性情報が常に反映される。「特にセキュリティを重視されるお客さまからは、見逃しの少なさを高く評価いただいています」と植田氏は説明する。

開発ライフサイクル全体を通じてセキュリティ強化を実現

近年の開発現場では、CI/CD(※)の導入が進んでいる。CodeSentryはこのトレンドに対応し、豊富なAPIを通じて開発パイプラインへの統合を容易にしており、継続的なセキュリティ監視体制を構築できる。

(※)CI/CD …Continuous Integration/Continuous Deployment。継続的インテグレーションと継続的デリバリー(またはデプロイ)を組み合わせ、ソフトウェアの変更を常にテストし、自動で本番環境に適用できるような状態にしておく開発手法のこと。

また、同じくCodeSecure社の静的コード解析ツール「CodeSonar」との組み合わせで、より包括的なDevSecOpsの実現が可能になる。CodeSonarは優れた解析エンジンを備え、不具合の見逃しを最小限に抑える特長を持っているという。

  • CodeSonarとCodeSentryにおけるDevSecopsの工程図

「CodeSonarによる開発段階でのセキュリティ脆弱性の検出、CodeSentryによるサードパーティ製品を含めたOSS管理という形で、それぞれの強みを活かした相互補完的な対策が実現できます」(植田氏)

さらに、ユビキタスAIでは、製品セキュリティの総合的な強化を支援するため、IoTセキュリティ検証サービスも提供している。このサービスでは、IoT機器の脆弱性検証を通じて、CRAなどの法令や各種規格対応をサポート。OSS管理とIoTセキュリティの両面からの対策で、より堅牢なセキュリティ体制の構築が可能となる。

CodeSentry活用の現在と未来 ─ 製造業の課題解決に向けて

多数の組み込み製品を開発・製造する家電メーカーでは、サードパーティ製ソフトウェアを多用しており、大量のSBOM作成が必要であったという。「CodeSentryは高い信頼性と安定性、さらに容易な自動化機能が評価され、採用に至りました」と植田氏は語る。特に大量のファイル処理時でもツールが停止せず、確実に結果を出力できる点が、実務での大きな利点になっているとのこと。

現在、CodeSentryでは複数プロジェクトを扱う企業からの要望に応え、結果のアクセス制限機能の強化を進めている。「OSSの使用によるライセンス問題や脆弱性対策は、もはや選択ではなく必須となっています。その効率化のためには適切なツールとサービスの選択が重要です」と植田氏は指摘する。

ユビキタスAIでは、セキュリティ分野に注力しており、開発現場が直面する新たな課題にもタイムリーに対応している。「当社はセキュアな通信、デジタルコンテンツ保護、様々なマイコンやプロセッサに組み込める暗号ライブラリやTPMといったセキュリティ対応ミドルウェアから、CodeSentry、CodeSonar、ファジング・ペネトレーション試験といったツール製品の提供、さらにはコンサルティングまで、幅広いソリューションを手がけています。この総合力を活かし、お客さまの開発におけるさまざまなセキュリティ課題解決に、より包括的にアプローチしていきたい」と植田氏は展望を語った。

サードパーティ製品の増加により、従来の手法では把握が難しくなっていたOSSの検出と管理。複雑化する開発環境において、効率的なOSS管理は見逃せない。その課題に真正面から挑むCodeSentryは、組み込みソフトウェア開発における安全なOSS活用を着実に支えていくことだろう。

  • (写真)ロゴ前での植田様

関連リンク

[PR]提供:ユビキタスAI