IPA/ISEC、オープンソースソフトのセキュリティ確保のための調査発表

情報処理振興事業協会 セキュリティセンター（IPA/ISEC）は2003年3月26日、「オープンソース ソフトウェアのセキュリティ確保に関する調査報告書」を発表した。

これは、オープンソース ソフトウェア（以下 OSS）が情報インフラの構成要素として利用されるケースが増えていることに対応し、ソフト利用者の側でセキュリティを確保するためのフレームワークを作成することを目的としたもの。同協会のセキュリティ対策研究開発事業として株式会社日本総合研究所（日本総研）が調査を実施した。

調査では、セキュリティ確保のためのフレームワークを「ソースコード検査」「脆弱性対応」「運用管理」という3ステップで定義。「ソースコード検査」「脆弱性対応」については、ユーザー自身が検査や対応を行うためのツール（OSS として公開されている計11本）について、脆弱性の存在するシステム上で実証を行い、それぞれの機能や特徴、使用法の紹介と全般的な評価を行っている。

また運用管理面に関しては管理者が OSS を適切に運用していくため、OSS コミュニティなどから直接情報収集を行い自らサーバー対策までを行うモデルや、有償のベンダーが情報収集およびサーバーへの対策を行うモデルなど3種類が提案されている。これについては「コストや体制を踏まえて検討する必要がある」（IPA/ISEC）としている。

IPA/ISEC では今回のフレームワークも含め、ソースコードの検査やセキュアなコード作成・実行環境技術に関する情報をオープンに公開、利用できる環境が重要である、として、そうした場を構築の重要性を訴えている。

▽今回検証されたツール（ソフトウェア）
　[ソースコード検査]
　　RATS、ITS4、Flawfinder、Splint(LCLint)、Cqual
　[脆弱性対応]
　　Solar Designer、StackGuard、Bounds Checking、Stack Smashing Protector、
　　FreeBSD stack integrity patch、Libsafe

○オープンソースソフトウェアのセキュリティ確保に関する調査（詳細が PDF でダウンロード可能）
　http://www.ipa.go.jp/security/fy14/reports/oss_security/index.html