日本経済新聞

トップ
速報
オピニオン
経済
政治
ビジネス
金融
マーケット
マネーのまなび
テック
国際
スポーツ
社会・調査
地域
文化
ライフスタイル
記事・株価を検索
オープンソース開発、欠陥修正に弱点　有志頼みに限界
ネット・IT
2022年2月14日 2:00 [有料会員限定]

think!
多様な観点からニュースを考える
村上臣さん他1名の投稿
村上臣山崎俊彦
デジタル経済を支えるオープンソースソフト（OSS）の開発にひずみが目立ってきた。誰でも自由に開発・再配布できる仕組みで普及してきたが、民間調査で8割超に脆弱性が見つかる一方、欠陥の修正対応は有志の開発者頼みという弱点も露呈する。サイバー攻撃のリスクが高まる中、米グーグルなどのテック大手や各国政府も対応に乗り出している。

「有名な開発者でも寄付で得られるのは数十万円程度。問題が起こって初めて注目される」。ソフト開発を手掛けるスタートアップ、フレームダブルオー（東京・渋谷）の原宏幸最高技術責任者（CTO）は、OSSの皮肉な現状をこう語る。

同社は改ざんが難しいブロックチェーン（分散型台帳）技術を使い、OSS開発者が自らの貢献を証明して、外部からの支援を得やすい仕組みを構築。米マイクロソフトのスタートアップ支援プログラムにも参加し、1700件以上のプロジェクトで導入されている。

OSSは1990年代後半に生まれた概念で、基本ソフト（OS）の「リナックス」や「アンドロイド」が代表例だ。プログラムを記述したソースコードが無償で公開され、誰でも自由に利用や改良、再配布ができる。改変したコードの公開義務の有無などを定めたライセンスもあるが、OSSを自社ソフトに組み込むIT（情報技術）企業など使う側が自己責任で利用するのが原則だ。

企業はOSSの活用を通してソフトの開発スピードを高め、技術革新につなげる。現在はクラウドやスマートフォンアプリ、人工知能（AI）などありとあらゆる分野でOSSが使われ、欧州連合（EU）の欧州委員会の報告書によれば、同域内だけで年間最大950億ユーロ（約12兆円）の経済効果をもたらしている。

8割超に脆弱性
半面、ひとたび脆弱性が見つかれば影響は大きい。2021年12月、ホームページやネットサービスのログ管理などに使われる「Apache Log4j（アパッチ　ログフォージェイ）」と呼ばれるOSSで重大な欠陥が見つかった。

ログフォージェイは世界中のウェブサービスなどに使われ、広く普及している。自社製品に組み込んでいる米アマゾン・ドット・コム傘下のアマゾン・ウェブ・サービスや米IBMなどは欠陥の発覚後、顧客企業に修正プログラム（パッチ）適合を推奨するなど対応に追われた。

もっとも、ログフォージェイは「氷山の一角」かもしれない。ソフトの解析ツールを手掛ける米シノプシスによれば、同社が20年に監査したIT、医療、金融といった幅広い業種で用いられるソースコード1546件のうち、98%にOSSが組み込まれ、84%が脆弱性を抱えるOSSを使っていた。深刻な脆弱性に絞っても60%に上った。

企業がOSSを組み込んで商用ソフトを開発した場合、その企業が顧客に対し責任を負う。そのため、脆弱性が見つかった際の修正対応を含む保守業務は、大規模なOSSは企業の開発者が担うことが多い。一方、比較的小規模なOSSには有志の開発者が対応しているケースが一定数ある。

手弁当で修正対応
ログフォージェイを公開している米非営利団体のアパッチソフトウエア財団で保守業務を担っているのは、本業を別に持つ数名の開発者らを中心に自主運営されているコミュニティーだ。

「メンテナーは不眠不休、無報酬で対応にあたっている」――。21年12月、ログフォージェイの保守を担うオランダのプログラマー、ヴォルカン・ヤズジュ氏はSNS（交流サイト）上で訴えた。脆弱性への修正対応に時間がかかっていると、有志の開発者の責任を問う声が出ていることを受けてのものだ。

ヤズジュ氏は日本経済新聞の取材に「メンテナーにも自分の人生があり、家族や子供がいる」とした上で、「一回限りの寄付を受け取ったからといって、仕事を辞めてログフォージェイに専念するのは難しい」とコメント。OSSを組み込むなどして恩恵を得ている企業が開発者を雇って保守管理にあたるのが一つの解決策だと提言する。

世界中で広く使われるOSSの保守をわずかな有志が手弁当で支えている――。こうしたひずみがあらわになり、各国政府やテック大手が対策に乗り出した。22年1月には、米国政府がグーグルやアマゾン、IBMなどの幹部を集め、OSSのセキュリティーをテーマに会合を開いた。

グーグルが資金支援
グーグルは各OSSの重要度合いを定め、脆弱性の修正を支援する取り組みなどに1億ドル（約115億円）を投じる。脆弱性の防止に貢献した開発者に金銭報酬を渡す仕組みにも資金を拠出する。OSSを広く活用している同社にとって、OSSコミュニティーが活性化することが、自社製品やサービスの競争力に直結する。

米国政府や日本の経済産業省はOSSを含むソフトの構成要素を一覧できる「ソフト部品表」の導入を後押ししている。リナックスを管理する米リナックス財団が定めた世界標準規格は「脆弱性が自社に影響するか瞬時に見分けられる」（同財団のケイト・スチュワート氏）といい、米インテルやマイクロソフト、ソニーグループなどが採用を表明した。

シノプシスやカナダのブラックベリーはソフト部品表の作成を支援する解析ツールを提供する。脆弱性を足がかりにサイバー攻撃を受けるリスクはIT業界だけでなく、デジタル化に動くあらゆる業界にある。ブラックベリーで同製品を担当するバイスプレジデント、グラント・コービル氏は「自動車や防衛、医療などの業界で採用が広がっている」と話す。

有志が集まる開発コミュニティーが活発であれば、脆弱性につながる問題を速やかに発見し、修正するOSS本来の強みが発揮できる。大阪大学の井上克郎教授は「OSSをただ利用するだけの姿勢では、不具合が起きれば修正を待つしかなくなる」と指摘する。OSSに積極的に関わることは、企業にとっての自衛策にもなる。

米中摩擦、開発にも波及
世界の開発者が支えるOSSの開発コミュニティーで、存在感を高めているのが新興国の参加者だ。OSS開発の場として使われているマイクロソフトのソースコード共有サービス「ギットハブ」の利用者数をみると、国別の首位は米国だが、2位以下を中国、インド、ブラジルが占め、日本や欧州諸国を上回る。

特に動きが活発なのが中国勢だ。華為技術（ファーウェイ）は自前のOS「鴻蒙（ホンモン、英語名ハーモニー）」の中核部分をOSSとして公開しているほか、欧米発のOSSプロジェクトでも中国からの参加者が増えている。ログフォージェイの脆弱性はアリババ集団の開発者が最初に報告したとされる。

一方、米中ハイテク摩擦の影響はOSSにも及び始めた。中国では米中摩擦でギットハブの利用が制限される懸念を背景に、ギットハブに近い機能を備えた中国発サービス「ギッティ」の利用者が増え、OSS開発の場が2つに分かれている。ギッティを使う四川省成都市在住の開発者は「OSSが国際政治の影響を受けている」と話す。

19年には米国の制裁の影響で、イランなどでギットハブの利用が一部制限された。半導体や通信の分野で進むテクノロジーの分断がOSSにも及べば、世界の企業や個人によるオープンな協業が支えてきたOSSの利点そのものがそがれ、デジタル製品などの開発に影響を及ぼしかねない。デジタル経済を支えるOSSは、経済安全保障の側面でも転機を迎えつつある。

（龍元秀明）
【関連記事】

・ソフトウエアの「穴」、供給網全体で情報共有
・Google、サーバーのファームウエア仕様統一図る
・企業の老朽ソフト、世界で5割放置　サイバー攻撃懸念
・[FT]公開ソフト、課題は保守　脆弱性克服へ技術・法支援

多様な観点からニュースを考える
※掲載される投稿は投稿者個人の見解であり、日本経済新聞社の見解ではありません。

村上臣のアバター
村上臣
リンクトイン日本代表
コメントメニュー
ひとこと解説OSSの世界、より広く言えばインターネットの仕組み自体が互助の精神でできています。ネットビジネスが広がるにつれてその「おいしい部分だけ」をチェリーピックし続けることはできないということではないでしょうか。OSSの活用はコストや開発スピードなど、企業側にとってのメリットは少なくありません（だからこそ、急速に広がったわけです）。自社で利用しているOSSに対して社員を業務の一環として関わらせたり、エンタープライズ向けのサービス会社と契約をするなど（LinuxにおけるRedHatのように）、企業側もメリット・デメリットをしっかりと把握した上で利用するべきでしょう。
2022年2月14日 17:01いいね
28
山崎俊彦のアバター
山崎俊彦
東京大学　大学院情報理工学系研究科 准教授
コメントメニュー
ひとこと解説最近、とあるソフトの致命的なバグが見つかったときに、オープンソースの開発者にS&P500のトップ企業から「我々はおたくのコードを使っている。ついてはこのバグについてこのソフトは問題ないか24時間以内に回答されたし。」と問い合わせがきてOSSの精神がわかってないのではないかと話題になりました。

1つ注意点を。OSS=無料、ではありません。ソースコードは公開されているけれども「学術利用は無料、商用利用は有償」などとなっていることもあるのでライセンスの確認は重要です。
すべての投稿を表示する (2件)
すべての記事が読み放題　まずは無料体験（初回１カ月）

こちらもおすすめ(自動検索)

ソフトやOSの脆弱性を一括診断、ビジョナル系
2021年8月26日
脆弱性の緊急度や対応状況を整理して可視化する
トヨタが推すサイバー対策の新常識　車載ソフト部品表
2021年9月22日
会員限定

ログ管理ソフトに欠陥、Amazonなど調査
12月14日
会員限定

Apple、「iMessage」に脆弱性　修正プログラム配布
2021年9月14日
アップルは修正プログラムの更新を確認するよう利用者らに呼びかけている＝ロイター
関連企業・業界
企業：
業界：
関連キーワード

AI推薦

この時間の人気記事
米大統領、ロシア軍撤退「確認できず」　侵攻可能性残る
7:56
ロイター
この時間の人気記事
休校基準、自治体が独自緩和　感染懸念も働く親に配慮
4:37

この時間の人気記事
プーチン氏、軍撤収は「状況次第」　独と協議継続で一致
5:54
ロイター
この時間の人気記事
NYダウ反発、422ドル高　ウクライナの緊張緩和期待
8:00
ロイター
速報
12:56
更新
乳児虐待死疑いで母逮捕　床に落下か、福岡・川崎町
12:56
更新
キリン、中国飲料の合弁解消発表　中国系ファンドへ売却
12:52
更新
NASA、スペースXの衛星網に懸念　「衝突リスク上昇」
12:52
更新
ワリエワから3種の治療薬　禁止外物質も、米紙報道
12:50
セコム、カラー画面付きAEDをレンタル

日経からのお知らせ

プレスリリース
本社の障がい者採用情報

あなたに合った電子版の使い方をご紹介

【重要なお知らせ】「電子版・宅配（日経ID決済）利用規約」を改訂します
ランキング
12:00 更新
「宝山は許せない」 日鉄・橋本社長、トヨタ提訴の真意
カインズに売られた東急ハンズ、異端児ドンキとの差
入国後待機3日に短縮、条件満たせば撤廃　政府検討
ウクライナ危機、アジアにも北風　勢いづくロシア極東軍
米大統領、ロシア軍撤退「確認できず」　侵攻可能性残る
今どき新入社員「上司のチャット怖い」
U22
今どき新入社員「上司のチャット怖い」
パワポのグラフ　伝わりやすくする技
NIKKEI STYLE キャリア
パワポのグラフ　伝わりやすくする技
森林保護を目指す映画プロジェクト
PR
未来ショッピング
森林保護を目指す映画プロジェクト
同役職、同年代の偏差値を確認しよう
PR
エグゼクティブ転職
同役職、同年代の偏差値を確認しよう
セレクション
未来面　身近なモノが10年後にどう変わったらうれしいですか？
日本精工社長の課題
日経優秀製品・サービス賞2021
技術革新、ニーズ捉える　35点を紹介
NIKKEI Briefing
「Editor’s Choice」編集局長が振り返る今週の５本をメールで配信
BSテレ東
「日経ニュース プラス9」「NIKKEI 日曜サロン」論説フェローや記者が出演
トレンドウオッチ
日経ビジネス
解剖キーエンス　最強企業の“人づくり”
三菱商事もうらやむ年収　驚異の数字が語るキーエンス
河合薫の新・社会の輪　上司と部下の力学
博士の価値、年収240万の絶望と「おじさん博士」の光
日経クロステック
ニュース解説
京アニ火災踏まえ「籠城区画も考慮を」建築学会が提言
MACアドレスの謎
「MACアドレスは重複しない」　常に本当と言えるか？
NIKKEI STYLE
ヘルスＵＰ
話題の筋トレ「HIIT」　幸福感上げ、ストレスも軽減
キャリア
残業もなく成長もない 「ゆるブラック企業」増殖中?
日経BizGate
コア事業受託し市場を「独占」
ＧＥ航空機エンジン・星野リゾートなぜ強い？
エグゼクティブ転職
エグゼクティブ力診断テスト
あなたの「ビジネス偏差値」を診断
日経ウーマノミクス
イベントリポート
QUICK、洗足学園で資産形成を講義 ～ カードゲームで学ぶお金の話
NIKKEI Smart Work
PICK UP
「日経スマートワーク大賞2022」はダイキン工業、審査委員特別賞にアサヒGHD
日本経済新聞社の関連サイト
NIKKEI Financial
Nikkei Asia
日经中文网
Financial Times
日経転職版
NIKKEI STYLE
Paravi
日経ビジネス
日経ウーマノミクス・プロジェクト
NIKKEI SEEKS
日経ビジネススクール
日経チャンネルマーケッツ
日経クロステック
日経Gooday
日経BizGate
NIKKEI TEST
NIKKEI プラス9
日経xTREND
日経ESG
NIKKEI Smart Work
日経イベント＆セミナー
NATIONAL GEOGRAPHIC 日本版
日経xwoman
日経不動産マーケット情報
イベント・セミナー
日経アートアカデミア
日経ホールと貸会議室
日経懇話会
講演会向け講師紹介
教育・キャリア
日経の企業内研修
日経のグローバル人材育成
日経のベテラン記者を講師に
各種サービス
日経IDラウンジ
日本経済新聞の本
日経テレコン
日経の美術品
NEEDS
日経チャンネル
N-BRAND STUDIO
日経グローカル
Channel JAPAN
印刷サービス
日経SDGs/ESGデポ
日経チャートビルダー
日本経済新聞社について
会社情報
プレスリリース
記事利用
個人情報の取り扱い
本社採用案内
日経グループ情報
新聞広告ガイド
紙面紹介と購読案内
法人お問い合わせ窓口
SNSアカウント一覧
日経電子版について
サイトポリシー
サイトマップ
利用規約
ヘルプセンター
よくある質問
訂正・おわび
著作権
リンクポリシー
データ利用
プライバシーセンター
電子版広告ガイド
Nikkei Inc.No reproduction without permission.