米Google(グーグル)の「Google Cloud」が、一見では地味なサービスのプレビュー版を2022年7月にも開始する。グーグル関係者さえ目立つものではないと認めるサービスだが、近い将来にはシステム開発の生産性とセキュリティーを両立したいユーザー企業の切り札になれる潜在力があると筆者は感じた。
「グーグルお墨付き」の安全なOSSを使える
そのサービス「Assured Open Source Software(Assured OSS)」は、グーグルが脆弱性の有無を定期的に検証して安全と診断したOSS(オープンソース・ソフトウエア)を公開し、利用できるようにするものだ。
開発元から入手したOSSのソースコードに対し、グーグルが無効あるいは不正な入力によってソフトウエアの挙動を確認するファジングテストを定期的に実施する。ソフトウエアの不具合や脆弱性は、開発者が想定しない入力によって引き起こされることが多い。ファジングテストはこうした脆弱性を見つけやすくする。テストを経て安全性を確認したソースからパッケージを生成し、配布する。
グーグルによれば、当初はJavaのログ出力ライブラリー「Apache Log4j」など、JavaとPythonに関連する一部のOSSパッケージを配布対象にするという。「言語にかかわるものを中心に広げていく方針だ」(グーグル・クラウド・ジャパンのインフラ、アプリケーション製品担当の安原稔貴技術部長)。Google Cloudで稼働するシステムはもちろん、企業のオンプレミス環境のシステム開発にも制限なく利用できるとしている。
ユーザー企業からみると、「グーグルお墨付き」の安全性の高いOSSを利用してシステムを開発できるようになる。OSSの安全性を自社で検証する手間を大きく減らせることから、開発生産性の向上も期待できる。この開発生産性とセキュリティーの担保の両立に役立つという特徴が、潜在力があると筆者が感じたポイントだ。
いまや、開発生産性の向上などの目的でOSSをシステム開発に活用する取り組みは、多くの企業にとって当たり前のものになっている。米ソフト会社Synopsys(シノプシス)が2022年5月に公表した調査によれば、金融、製造など17業種2409件の業務システムのソースコードを分析したところ、97%が何らかのOSS部品を利用していた。
OSSのセキュリティー懸念が上昇中
一方で、最近はOSSに対するセキュリティーの懸念が高まっている。2021年末に判明したApache Log4jの脆弱性が象徴的だ。2022年3月にもJavaアプリケーションフレームワーク「Spring Framework」の脆弱性が見つかった。これらのOSSの脆弱性は影響が広範囲にわたった。現場で対処に追われたIT技術者の方も多いことだろう。
