オープンソースソフトウェアに対するセキュリティリスク指標の提案と評価

オープンソースソフトウェア （OSS）を用いた情報システムが主流となり，OSS に対するセキュリティ対策は急務である．OSS の開発は開発者コミュニティが担うことが多く，利用者による独自の修正は容易ではない．また，OSS に脆弱性が発見された場合において，情報システムの利用環境毎に脆弱性への対応が必要であるかの判断は難しい．既存のセキュリティ研究では，ソフトウェアの脆弱性の分類，脆弱性の危険性の推定，ならびに脆弱性の攻撃利用可能性に関する解析手法が提案されている．しかし，運用中の情報システムで利用中の OSS の脆弱性や開発状況を分析し，攻撃を受ける可能性の把握や，脆弱性が発見された際に危険性の有無を判断することは困難であり，依然として課題である．本稿では，このような課題を解決するため，OSS のセキュリティリスク指標を提案し，情報システムで利用する OSS の危険性の継続的な把握を可能とする．提案手法では，脆弱性に関する情報と OSS の開発状況を結び付け，セキュリティリスク指標を算出可能とする．情報システムの運用において，提案する OSS のセキュリティリスク指標をセキュリティ対策の判断基準として用いることで，セキュリティ保守の実施判断に利用可能になる．評価においては，提案するセキュリティリスク指標を用いて，複数の OSS に対して危険性を把握可能か検証を行った．また，Linux ディストリビューションに提案手法を適用し， OSS のセキュリティリスク指標の算出にかかるコストを検証した．

Open source software (OSS) become a software mainstream. The security of OSS is an important topic for information systems using OSS. When vulnerabilities are discovered in OSS, it is difficult to fix or address OSS for each information system environment. Existing security studies proposed classifying vulnerabilities, estimating vulnerability risks, and analyzing vulnerability exploitability. However, it is still difficult to understand the vulnerabilities threat, and development status of OSS used in information systems operation. The challenge is to determine whether vulnerabilities and OSS development status are dangerous or not. In this paper, we propose a security risk Indication for OSS to tackle these problems. The proposed method calculates security risk indications by combining vulnerability information and the development status of OSS. The proposed security risk Indication of OSS as a criterion for security measures in the operation of information systems. In the evaluation, we verified whether the proposed security risk indication can be used to identify the threats of multiple OSS and the cost of calculating security risk indications.