News

品質創造のベリサーブ、積極活用されるOSSをより安全に 「OSS管理の自走化」を実現する支援サービスを拡充

〜脆弱性リスク2年連続増加の調査結果を受け、国際基準の管理体制構築を支援〜

株式会社ベリサーブ(本社:東京都千代田区、代表取締役社長:新堀義之、以下、当社)は、昨今のソフトウェア開発環境を鑑みて、品質創造の観点から「ツールを用いた、オープンソースソフトウェア(OSS)管理の自走化支援サービス」の拡充、ならびにOSS管理の重要性と新国際基準の啓蒙活動の一環として2021年12月14日(火)に無料セミナーをオンラインにて実施します。

1.サービス提供とセミナー実施の背景

昨今のソフトウェア開発では、ソースコードが一般に公開され、ソースコードの利用・修正・再配布が可能なOSSが企業のプロダクトやサービスに積極的に使用されています。汎用ライブラリを中心に採用されることが多くあり、OSSを用いずにプロダクトやサービスを構築することは困難とも言える状況です。 一方で、2021年4月には経済産業省から「オープンソースソフトウェアの利活用およびそのセキュリティ確保に向けた管理手法に関する事例集」※1 が公開され、脆弱性対応や管理手法について多くの企業が課題を抱えている現状が指摘されています。また、産業界として、知見の共有が有効であることも示されています。 さらに当社へも「OSSは積極的に活用したいが、OSSに関する知見を持った社員がいないため、手探りで運用をしている」「OSSの脆弱性は日々発見をされるが、海外の情報を素早く入手することが難しい」「OSSのライセンス情報や脆弱性情報の管理は、部署ごとに管理方法が異なるため、他部署と共有や全社でガバナンスを効かせることが難しい」といった課題に対する相談も寄せられています。

※1 参照:経済産業省 2021年4月21日発表ニュースリリース
https://www.meti.go.jp/press/2021/04/20210421001/20210421001.html

2.OSSの利活用における「リスク」について

2-1.脆弱性リスクについて

当社が、パートナーシップを結ぶシノプシス社が2020年に監査した17業種、1,546のコードベースの分析から、以下が報告※2 されています。

  • OSSを含むコードベースは98%
  • 少なくとも1つの脆弱性が見つかったコードベースの割合:84%
  • ライセンス条件の競合が見つかったコードベースの割合:65%
  • 1つのコードベースに見つかった脆弱性の数(平均):158

また、コードベースに脆弱性が含まれる割合は、2018年度で60%、2019年度で75%、2020年度で84%と、リスクが上昇傾向にある現状が確認できます。

※2 参照:シノプシス・サイバーセキュリティ・リサーチ・センター(CyRC)発行「2021オープンソース・セキュリティ&リスク分析レポート」

2-2.コード以外に潜むリスク

OSSの利活用におけるコード以外の一般的なリスク例としては、次のようなものがあります。

  • コンプライアンス観点:ライセンス競合・違反等の法的リスク
  • セキュリティ観点:OSS由来の脆弱性混入リスク
  • 運用観点:OSS開発コミュニティ終了に伴う、運用・保守リスク

また、利活用においてマネジメントからのサポートが十分でないケースが見受けられ、属人的な管理となっているケースも少なくありません。ソフトウェア開発の規模の巨大化や、開発チームの並列・分散化からも”意図しないOSSの混入”や、”経緯が引き継がれずに使用され続ける
OSS”といった状況も散見されます。このようなリスクの先に想定されるダメージとしては、損害賠償請求の事例や、提供サービスの評判下落といった事例が挙げられ、企業活動に大きな影響を及ぼします。
さらに、OSS管理ツールベンダーには外資系企業が多く、日本法人を有していないために、日本国内の情勢や商習慣に適したサポートを得づらい環境も、トラブルが発生した際のリスクの一つとして挙げられます。

3.OSS管理を実現する当社のサービスについて

OSSの利活用におけるリスクに対応するため、OSSを活用した開発においては「水際」の不具合検出のみでなく、開発プロセス全体でのリスク管理が必要であり、開発チームが自発的にOSS管理できている環境作りが肝要です。
当社では長年の経験に基づいた多面的な観点を持ち、日々お客様の品質保証活動を支援しており、OSS利活用視点でも、品質向上のソリューションを提供しています。OSS管理に関するコンサルティングサービスから、プロセスやツール導入のハンズオン支援、セキュリティや脆弱性診断などさまざまなソリューション※3 を通して、国内系企業ならではの観点で、タイムリーな開発支援を継続してきました。
そこでこの度、昨今のQA活動やOSS管理の自走化を目指すニーズにお応えして、専任エンジニアによるOJTでの「OSS管理技術の移管サービス」を提供します。本サービスではシノプシス社のツール「Black Duck」※4 を用いて、開発チームが自走してOSS管理を行える技術移管を行います。サービス料金や期間に関する詳細はお問い合わせください。

※3 OSSリスク管理ソリューション:https://www.veriserve.co.jp/service/detail/cod-oss.html
            脆弱性診断:https://www.veriserve.co.jp/service/detail/app-vulnerability.html
※4 Black Duck:https://www.veriserve.co.jp/service/detail/blackduck.html

4.開催セミナーについて

OSSリスマネセミナーバナー
日時 2021年12月14日(火)15:00~15:50
会場 オンライン開催
参加費 無料
対象者 ・OSSやOSSライセンスの理解を深めたい方
・OSS管理体制の構築、社内ルールの制定ができていない方
・OSS管理を他社に委託されている方
申し込み お申し込みは以下よりお願いします。 https://contact.veriserve.co.jp/public/seminar/view/4307

■本件に関するお問い合わせ
 広報・マーケティング部 広報・宣伝課 西村 綾子、竹原 正人
 TEL: 050-3640-7964
 e-mail:vs.marketing@veriserve.co.jp


株式会社ベリサーブについて

品質向上のリーディングカンパニーであるベリサーブは設立以来、ソフトウェア検証業界のパイオニアとして累計28,000件以上のプロジェクトに携わり、ソフトウェアの安全性や品質向上を通して社会の発展を支えてきました。日々多様化・高度化するIT技術の活用でもっと豊かになる未来を、私たちベリサーブは品質保証の観点から実現していきます。

会社概要

会社名:株式会社ベリサーブ
設立:2001年7月24日
資本金:792百万円
代表者:代表取締役社長 新堀義之
本社所在地:〒101-0061 東京都千代田区神田三崎町3-1-16 神保町北東急ビル9階
事業内容:
 1.製品検証サービス
 2.セキュリティ検証サービス
 3.その他製品開発やシステム構築に伴う各種サービス
URL:https://www.veriserve.co.jp/