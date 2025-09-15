オープンソース・ソフトウェアとクローズドソース・ソフトウェアのいずれにおいてもセキュリティは重要な考慮事項です。どちらがよりセキュアかについての議論が高まっていますが、一般に、プロプライエタリ・ソフトウェア製品を開発した企業はオープンソース・ソフトウェアの作成者よりも評判を意識する傾向があります。セキュリティの欠陥が明らかになった場合には自らが非難や批判を浴びます。OSSの場合、明確なソフトウェア所有者が存在せず、評判を維持する必要もなければ、責任の所在も明らかではありません。

誰もが見ることも使用することもできるオープンソース・ソフトウェアのソースコードは悪意のあるユーザーにも公開されています。一方、プロプライエタリ・ソフトウェアのコードは簡単には入手できないため、攻撃者にとってソフトウェアを参照してエクスプロイトすることは比較的困難です。

多くの専門家が、OSSはソースコードを自由に利用できることによってセキュリティが向上すると主張しています。多くの開発者がコードに携わるため、リーナスの法則に従って欠陥が捕捉され、解決される可能性が高いという主張です。さらに、企業や個人が有志でオープンソース製品の脆弱性をスキャンしてその結果を公開しています。

ところが近年、組織の資産を重大なリスクにさらすOSSの脆弱性（HeartbleedやShellShockなど）が見つかっています。こうしたリスクに対処するため、企業はOSSセキュリティ対策を講じる必要があります。この対策によりOSS固有のセキュリティ・リスクを防げるという一定の安心が得られます。

オープンソースのソフトウェア・セキュリティ対策をセキュアに実装するには、以下のベストプラクティスが有効です。

自社のセキュリティ・ポリシーの要件を満たすOSSの解析を実施する。 自社のセキュリティ・ポリシーにOSSが含まれていない場合はOSSも含める必要がある。

明確な責任の所在を含む、社内で使用しているOSSのリポジトリを作成し、管理する。

共通脆弱性識別子（CVE）やNIST脆弱性データベース（NVD）などの脆弱性情報を確実にリポジトリにマッピングし、最新情報を維持する。

社内で使用しているOSSを常に最新の状態に維持する。

OSSの開発や保守が終了した場合、またはOSSの更新が遅れている場合には、リスクを軽減または容認するプロセスを設ける。

現在使用しているすべてのOSSに対するセキュリティ評価を行う（ソフトウェア・コンポジション解析やファジングテストなどを用いる）。 社内にセキュリティ・エキスパートがいない場合は、ベンダーに評価を依頼。

プロジェクトに組み込まれる現行および将来のOSSに関するセキュリティ評価計画を策定する。

組織内にセキュリティの欠陥が生じることを防ぐためには、上記のベストプラクティスの維持が有効です。OSSのセキュリティへの投資は、はるかに高コストで大きな被害をもたらす将来のセキュリティ侵害を予防します。