IPA/ISEC、オープンソースソフトのセキュリティ確保のための調査発表

この記事のURLhttp://japan.internet.com/webtech/20030331/4.html

情報処理振興事業協会 セキュリティセンター（IPA/ISEC）は2003年3月26日、「オープンソース ソフトウェアのセキュリティ確保に関する調査報告書」を発表した。

これは、オープンソース ソフトウェア（以下 OSS）が情報インフラの構成要素として利用されるケースが増えていることに対応し、ソフト利用者の側でセキュリティを確保するためのフレームワークを作成することを目的としたもの。同協会のセキュリティ対策研究開発事業として株式会社日本総合研究所（日本総研）が調査を実施した。

調査では、セキュリティ確保のためのフレームワークを「ソースコード検査」「脆弱性対応」「運用管理」という3ステップで定義。「ソースコード検査」「脆弱性対応」については、ユーザー自身が検査や対応を行うためのツール（OSS として公開されている計11本）について、脆弱性の存在するシステム上で実証を行い、それぞれの機能や特徴、使用法の紹介と全般的な評価を行っている。

また運用管理面に関しては管理者が OSS を適切に運用していくため、OSS コミュニティなどから直接情報収集を行い自らサーバー対策までを行うモデルや、有償のベンダーが情報収集およびサーバーへの対策を行うモデルなど3種類が提案されている。これについては「コストや体制を踏まえて検討する必要がある」（IPA/ISEC）としている。

IPA/ISEC では今回のフレームワークも含め、ソースコードの検査やセキュアなコード作成・実行環境技術に関する情報をオープンに公開、利用できる環境が重要である、として、そうした場を構築の重要性を訴えている。

▽今回検証されたツール（ソフトウェア）
　[ソースコード検査]
　　RATS、ITS4、Flawfinder、Splint(LCLint)、Cqual
　[脆弱性対応]
　　Solar Designer、StackGuard、Bounds Checking、Stack Smashing Protector、
　　FreeBSD stack integrity patch、Libsafe

○オープンソースソフトウェアのセキュリティ確保に関する調査（詳細が PDF でダウンロード可能）
　http://www.ipa.go.jp/security/fy14/reports/oss_security/index.html

japan.internet.comのウエブサイトの内容は全て、国際法、日本国内法の定める著作権法並びに商標法の規定によって保護されており、その知的財産権、著作権、商標の所有者はインターネットコム株式会社、インターネットコム株式会社の関連会社または第三者にあたる権利者となっています。
本サイトの全てのコンテンツ、テキスト、グラフィック、写真、表、グラフ、音声、動画などに関して、その一部または全部を、japan.internet.comの許諾なしに、変更、複製、再出版、アップロード、掲示、転送、配布、さらには、社内LAN、メーリングリストなどにおいて共有することはできません。
ただし、コンテンツの著作権又は所有権情報を変更あるいは削除せず、利用者自身の個人的かつ非商業的な利用目的に限ってのみ、本サイトのコンテンツをプリント、ダウンロードすることは認められています。