ここから本文です

オープンソースの採用広がる車載ソフトは「脆弱性も管理すべき」

6/13(火) 12:10配信

MONOist

 ブラック・ダック・ソフトウェアは2017年6月9日、東京都内で記者会見を開催。来日した米国本社Black Duck Software CEOのルー・シップリー(Lou Shipley)氏が「自動車業界におけるオープンソースソフトウェアの管理と安全確保」について説明した。

【「2017年オープンソースセキュリティとリスク分析」の調査結果などその他の画像】

 製品開発におけるソフトウェアの重要性が高まる中で、その再利用性の高さから広く利用されるようになっているのがオープンソースソフトウェア(OSS)だ。IT業界では2000年以降、LinuxやApacheをはじめとするOSSが広く利用されており、一定の制限はあるものの無償で使用できることもあってその採用比率は高まり続けている。シップリー氏は「OSSのプロジェクト数は、2007年の10万から、2015年には150万まで増えた。2017年は250万に達する見込みだ。また2018年までには、アプリケーションのうち70%がOSSのデータベースを用いることになるだろう」と語る。

 OSSの採用比率が高まる一方で、OSSが抱える脆弱(ぜいじゃく)性も多数発見されるようになっている。「2014年以降、OSSの新たな脆弱性が1万以上見つかっている。その一方で、今まで利用してきたOSSに脆弱性があるかどうかを手動で見つけ出すのは大変な作業だ」(シップリー氏)。ブラック・ダック・ソフトウェアは2015年から、顧客のアプリケーションに用いられているOSSの脆弱性を管理するツール「Black Duck HUB」を提供することで、課題解決を支援している。

 同社の行った調査「2017年オープンソースセキュリティとリスク分析」では、アプリケーションの96%にOSSが用いられており、そのうち67%で既知の脆弱性が処理されず残っていた。1個のアプリケーションで見ると、平均で147のOSSコンポーネントが使用されており、既知のOSSの脆弱性は平均で27あった。「Heartbleed」「Poodle」「Freak」「Drown」といった致命的なことで知られる脆弱性でさえも、7%のアプリケーションに含まれていたという。

 シップリー氏は「かつて私が在籍していたソフトウェア企業が買収される際に、買収する側の企業から『どれくらいOSSを使っているか』と聞かれた。CTOは『ほぼ使っていないだろう』と言ったが実際には40%ほど使っていた。これが私とブラック・ダックの出会いのきっかけなのだが、多くの企業がOSSに対して無頓着なことを示すエピソードでもある」と強調する。

●自動車アプリケーションの23%がOSS

 OSSの利用はIT業界にとどまらない。製造業がハードウェア開発の際に実装する組み込みソフトウェアにも用いられているのだ。組み込みLinuxは、その代表例と言ってもいいだろう。全てのものがインターネットにつながるIoT(モノのインターネット)時代を迎え、製品のソフトウェア規模は爆発的に増大しており、OSSの再利用性は製造業の組み込みソフトウェア開発でも発揮されつつある。

 シップリー氏が、OSSの採用比率が急激に高まっている例として挙げたのが自動車だ。「先日購入したテスラ(Tesla Motors)の車両は、快適な自動運転機能を含めて、4本の車輪に『iPad』が載っているかのような、素晴らしいソフトウェア製品だ。通信でつながるコネクテッドカーは、まさにソフトウェアディファインドカーともいえる」(同氏)。

 実際に、ミッドレンジの量産車でソフトウェア規模は1億行に達する。これはFacebookのシステムや「Windows 7」、ボーイングの航空機「787」などよりもはるかに大きい。1977年には100行程度だった自動車のソフトウェア規模は、2000年以降の電子化で急激に増加しており、今後もコネクテッドカー、ADAS(先進運転支援システム)、自動運転技術の導入によりさらに増えていく。「現時点で、自動車の価値の40%をソフトウェアが占めているが、ソフトウェア規模が2億~3億行になる将来には、価値の80%をソフトウェアが占めるようになる」(シップリー氏)としている。

 会見と同日にブラック・ダックが発表したレポート「自動車業界におけるオープンソースソフトウェアの 管理と安全確保」によれば、自動車のアプリケーションの23%がOSSコンポーネントで構成されていたという。また、トヨタ自動車は2017年5月31日、同社の車載情報機器に、オープンソースプロジェクトであるAutomotive Grade Linux(AGL)のプラットフォームを採用したと発表した(関連記事:車載Linux「AGL」の本格採用を始めるトヨタ、特許リスクも見据える)。今後も、日本の自動車メーカーを中心に、車載情報機器へのLinuxの採用は進む可能性が高い。

 シップリー氏は「OSSの採用が広がる以上、それらのOSSに含まれる脆弱性もしっかりと管理しなければならない。ボッシュ(Robert Bosch)などのティア1サプライヤーが当社のツールを採用しているが、これからも提案活動を強化していきたい」と述べている。

最終更新:6/13(火) 12:10
MONOist

Yahoo!ニュースからのお知らせ