Black Duckオープンソースリサーチ&イノベーションセンター、 「2017オープンソース360°調査」を発表
- 2017年06月28日 10:00:00
- マネー
- Dream News
オープンソースの安全性確保と管理の自動化ソリューションの分野で世界最大手のBlack Duck Software, Inc. (日本法人:ブラック・ダック・ソフトウェア株式会社、東京都渋谷区、以下Black Duck) が運営するオープンソースリサーチ&イノベーションセンター(COSRI)は本日、「2017オープンソース360°調査」を発表しました。本調査は、世界中でオープンソースの使用が大幅に拡大する中、企業・組織は、オープンソースのセキュリティ確保および運用リスクについての認識を深める一方で、オープンソースの効果的管理に向けた取り組みが遅れていることを指摘しています。
「2017オープンソース360°調査」全結果の詳細な説明は、調査結果のCOSRIウェビナーディスカッションに続き、6月26日よりBlack Duckのウェブサイトで入手可能です。
2017オープンソース360°調査は、アメリカおよびEMEA地域を中心とした819社からの回答に基づいており、その74%がソフトウェア開発者やIT管理・運用者およびIT専門家、システムアーキテクト、開発管理者、セキュリティ専門家によって構成されています。
オープンソース利用とその理由について:
調査回答者の60%近くは、「オープンソースの利用が昨年中に増加した」と回答しています。オープンソース利用する理由として、「コスト削減、アクセスが簡単、ベンダーの縛りがないこと(84%)」、「コードをカスタマイズできる/不具合を直接修復できること(67%)」、「より優れた機能や技術的能力(55%)」、「オープンソースの進化およびイノベーションの度合(55%」)などが挙げられています。さらに、回答者は、オープンソースのビジネスへのプラスの影響として、「イノベーションの加速(55%)」、「品質の向上(44%)」などを挙げています。
オープンソース利用に対する懸念材料とその対応:
企業・組織がアジャイルなアプリケーション開発を推進するためにオープンソースの導入を加速する中、本調査の回答者は、その利用についての次の懸念材料を明らかにしています。
- 知的所有権のライセンスリスク/ロス(66%)
- 内部アプリケーションがオープンソース脆弱性によるエクスプロイトにさらされるリスク(64%)
- 外部アプリケーションがオープンソース脆弱性のせいでエクスプロイトにさらされるリスク(71%)
- コンポーネントの品質が不明(74%)
- 開発チームが内部ポリシーへの忠実性を損なう(61%)
2017オープンソース360°調査では、調査回答者の半数近くが、上記のような懸念を抱いているにも関わらず、オープンソースの選択および承認に関して各々が所属する企業・組織に正式なポリシーが存在しないことが明らかにされています。また、オープンソースの利用管理のために「自動化したプロセスを採用している」と答えたのは15%にとどまっています。
また、回答者は所属する企業・組織に対して、オープンソースの管理およびセキュリティ確保に関して「中程度」の評価をしており、半数をわずかでも超えているのは次のような点です。
- 関連するライセンスを遵守している(54%)
- 既知のセキュリティ脆弱性を認識している(55%)
- オープンソースのどのバージョンが現在どこに統合され展開されているか知っている(54%)
- 内部ポリシーを遵守している(44%)
Black Duck、CEO、Lou Shipleyは次のようにコメントしています。「『2017オープンソース360°調査』の結果は、世界中のあらゆる業界のさまざまな規模の企業とかかわってきた当社の経験とぴったり一致しています。企業は、経済的また生産性の観点から大量のオープンソースを利用しています。しかしながら、ほとんどの企業はオープンソースのセキュリティ確保と管理という面では非効率な管理・運用をしていると言わざるを得ません。いまやオープンソースは、最新アプリケーションのコードのうち80~90%を占めています。そしてこのアプリケーションレイヤーこそハッカーにとって主な標的となっているのです。つまり、既知のオープンソース脆弱性によるエクスプロイトは、ほとんどの企業・組織が直面する、アプリケーションのもっとも大きなセキュリティリスクを代表するものとなっているのです」
2017オープンソース360°調査では、オープンソース脆弱性の追跡および修復について企業・組織が「今でも主に内部リソースによる手動プロセスに依存している(53%)」ということが示されています。「既知のオープンソース脆弱性を追跡し自動的に識別し修復する」とした回答者はわずか27%しかいませんでした。シプリーはこの結果について、「当社が顧客に実施したオープンソース監査の結果と非常によく一致している」とも言っています。
Black Duckのオンデマンド事業部門は、主に企業の合併吸収に関連する数百のオープンソースコードの監査を実施しています。先ごろ発行した「オープンソースセキュリティおよびリスク分析(OSSRA)」では、2016年に監査を行った1,071のアプリケーションを分析した結果、オープンソースの使用(アプリケーションの96%にオープンソースが含まれていた)とオープンソースセキュリティ脆弱性の重大リスク(アプリケーションの60%以上にオープンソースセキュリティ脆弱性が含まれていた)の両方が高いレベルであったことが報告されています。
この「オープンソースセキュリティおよびリスク分析(OSSRA)」では、監査したアプリケーションのうち金融業界において、1アプリケーションあたり52のオープンソース脆弱性が見つかり、アプリケーションの60%にハイリスクな脆弱性が確認されました。小売業および電子商取引業界のアプリケーションは、最も高い割合でハイリスクなオープンソース脆弱性が含まれ、監査したアプリケーションの83%にハイリスクな脆弱性が見つかっています。
今回Black DuckのCOSRIが実施した「2017オープンソース360°調査」は、これまで長年にわたってBlack DuckとNorthbridge社が共同で実施してきた「オープンソースの将来調査」に代わるものです。
「2017オープンソース360°調査」のその他の特筆すべき結果は、次のようなものです:
オープンソース使用を追跡するメソッド:「開発者が提供する情報(54%)」、「手動による設計およびコードのレビュー(36%)」、「使用しているオープンソースのインベントリをスキャンする(33%)」。
オープンソース使用のコードをレビューするメソッド:「オープンソースのコードはレビューしない38%」、「オープンソースをスキャンする内部ツール27%」、「オープンソースをスキャンするサードパーティ製ツール28%」。
上手く機能するオープンソースポリシーを策定するためにもっとも重要な要素:「レビュープロセスおよびオープンソース使用要求への承認プロセスの構築42%」、「使用事例に特定した承認済みのオープンソースコンポーネントのホワイトリストおよびブラックリスト化39%」、「使用事例に特定した承認済みのオープンソースライセンスのホワイトリストおよびブラックリスト化39%」。
オープンソース使用が普及している分野:「組織内で使用するために作成したアプリケーション77%」、「顧客が使用するために作成したアプリケーション69%」、「自社のIT運用インフラでの実行69%」。
オープンソース使用が普及している技術分野:「開発ツール、ソフトウェア開発ライフサイクル57%」、「コンテナ、開発運用、仮想化、クラウドコンピューティング53%」、「システム管理、オペレーティングシステム52%」。
オープンソースの貢献:調査した企業の66%が「オープンソースプロジェクト」に貢献していると回答。
「2017年度のオープンソース360°調査」に協力いただいた企業・組織は以下の通りです(太字は主要協力企業)。Appnovation、Bareos GmbH &Co. KG、Black Duck Software、Capital One、Couchbase、Credativ、EnterpriseDB、Grid Protection Alliance、InfoSys、Open Hub、Open Invention Network (OIN)、Open-Xchange、Opmantek、(Open Source Academy of Arts, Science and Technology) of Pakistan、Pentaho、Red Hat、Rift-io、Rocket.Chat、Symphony Foundation、univention、WIPRO、WP Engine。
報道機関からのお問い合わせ
Black Duck 広報担当[担当:神谷]
Tel:03-5269-1038
E-mail:blackduck@jspin.co.jp
43歳テレ東女性アナ、新人時代の「官能小説」執筆を佐久間宣行氏に”暴露”され「文学系に…」
プーチン氏が金正恩氏に贈った高級車「部品は韓国製」 ロイター報道
藤本美貴、ストレス一切感じぬ”最強思考法”に中居正広驚嘆「このぐらいのメンタルじゃないと」
和田アキ子「早期発見で良かった」デーモン閣下と陣内孝則のがん手術公表に安堵のコメント
藤本美貴、庄司智春との熱愛発覚も「私別れませんから。モー娘を脱退します」振り返る
退社直前43歳テレ東アナ、番組中の”尿漏れ”悩み告白「骨盤底筋部が緩くて…」
藤本美貴、モー娘卒業式「私と矢口真里さんでやります」宣言「手紙読んだりしたい」
「また1つ伝説が生まれた」元プラマイ岩橋良昌がパチンコホールで「ぼっち」物販写真投稿
両親が亡くなった場合、子供は遺族年金を受給できるか?
和田アキ子、有吉弘行の「盗撮やめて」主張に理解「何か決めごとがあった方が…考えてあげたい」
何があった!?「エアコン」が想定外の壊れ具合!投稿者に話を聞いた
ひまそらあかねを無視するマスコミ、岩下の新生姜社長が名前を出すだけで「不買運動」が叫ばれる事態に
【ネタバレ?】史実で見るキングダムの今後の展開まとめ〜中華統一までの全体像
丸亀製麺の「丸亀うどーなつ」が販売開始で完売店舗続出!過去の「うどんで作ったドーナッツ」と比較すると……
玉置浩二の妻、青田典子(53)の現在がとんでもない事になっていると話題に
「エロい」42歳山川恵里佳、白ビキニのオフショ動画4連発!20年ぶりグラビア復帰「最ッ高」
中国・日本人母子刺傷 止めに入ったバス案内係の中国人女性死亡
株主優待の桐谷さん「アダルトサイトを見てたらウィルス感染」正直投稿 修復のお礼はやはり…
松本人志告発女性からの性被害否定報道に小籔千豊「ハッピーな情報かなと、思ってしまうけど…」
ひろゆき氏、立花孝志氏に言及「マジで捕まえたほうがいい」三浦春馬さんポスターに抗議受け謝罪
何があった!?「エアコン」が想定外の壊れ具合!投稿者に話を聞いた
玉置浩二の妻、青田典子(53)の現在がとんでもない事になっていると話題に
【ネタバレ?】史実で見るキングダムの今後の展開まとめ〜中華統一までの全体像
イケメンだから許される!堀北真希と山本耕史の「馴れ初め」が映画化希望するレベル
ガーシーが綾野剛のLINE公開でネット騒然「ショック」「すごいエンタメ」
「愛が生まれた日」藤谷美和子(56)の現在がヤバい!?徘徊生活を送っていた過去も明らかに。
ユーチューバーもこう氏、元彼女・成海瑠奈について赤裸々告白
都知事選掲示板にヌードポスター ひろゆき氏「世も末」 SNSで批判噴出
柏原崇(45)現在を調べてみた結果、相変わらずかっこよすぎた!
岡本夏生(56)、1600日ぶりにブログを更新した現在が衝撃
43歳テレ東女性アナ、新人時代の「官能小説」執筆を佐久間宣行氏に”暴露”され「文学系に…」
プーチン氏が金正恩氏に贈った高級車「部品は韓国製」 ロイター報道
藤本美貴、ストレス一切感じぬ”最強思考法”に中居正広驚嘆「このぐらいのメンタルじゃないと」
和田アキ子「早期発見で良かった」デーモン閣下と陣内孝則のがん手術公表に安堵のコメント
藤本美貴、庄司智春との熱愛発覚も「私別れませんから。モー娘を脱退します」振り返る
退社直前43歳テレ東アナ、番組中の”尿漏れ”悩み告白「骨盤底筋部が緩くて…」
藤本美貴、モー娘卒業式「私と矢口真里さんでやります」宣言「手紙読んだりしたい」
「また1つ伝説が生まれた」元プラマイ岩橋良昌がパチンコホールで「ぼっち」物販写真投稿
両親が亡くなった場合、子供は遺族年金を受給できるか?
和田アキ子、有吉弘行の「盗撮やめて」主張に理解「何か決めごとがあった方が…考えてあげたい」