TOP /  ミドルウェア /  米国におけるオープンソース最新活用状況

米国におけるオープンソース最新活用状況 | ミドルウェア

講演資料を見るには、 プライバシーポリシーに同意して、送付先メールアドレスをご入力しご請求ください。

またご入力いただきました情報は、当該イベントの主催・共催・協賛・講演企業とも共有させていただき、 当社及び各社のサービス、製品、セミナー、イベントなどのご案内に使用させていただきます。

メールアドレス


法人様向けの資料のため、フリーアドレスをご利用の場合は、会社名、お名前を入力してください。
会社名
お名前

米国におけるオープンソース最新活用状況  (ローグウェーブ ソフトウェアジャパン株式会社 齊藤雅之)

IT先進国の米国では、今どのようなオープンソースが実際に使われているのでしょうか。本セッションでは、ローグウェーブのサポート実績から得られた米国における最新オープンソース活用状況について紹介します。

講演資料を見るには、 プライバシーポリシーに同意して、送付先メールアドレスをご入力しご請求ください。

またご入力いただきました情報は、当該イベントの主催・共催・協賛・講演企業とも共有させていただき、 当社及び各社のサービス、製品、セミナー、イベントなどのご案内に使用させていただきます。

メールアドレス


法人様向けの資料のため、フリーアドレスをご利用の場合は、会社名、お名前を入力してください。
会社名
お名前

セミナー全体の評価と、参加者からのコメント

参加者によるこのセミナーの評価は、
3.7 でした!(5点満点中)
セミナー名 米国におけるオープンソース最新活用状況
講演企業 ローグウェーブ ソフトウェアジャパン株式会社 、ローグウェーブ ソフトウェアジャパン株式会社
開催日 2017年04月19日
消費者に対してITを提供する企業(Webサービス、ゲームなど) 40代 男性 の参加者
オープンソースベースのPssSサービスも最近はあり、このあたりもVSでのケース情報あると良かったです。
企業に対してITを提供する企業(ベンダー、SIerなど) 50代 男性 の参加者
自前でやるから大乗と言っているユーザに貴社はどうやって有償サポートに入るようにうながしているのでしょうか?やはり痛い思いをされてから目をさますといった感じでしょうか。プレゼンの中でコメントして欲しかった。
その他のIT関連業 40代 男性 の参加者
コメントなし
企業に対してITを提供する企業(ベンダー、SIerなど) 50代 男性 の参加者
コメントなし
企業に対してITを提供する企業(ベンダー、SIerなど) 40代 男性 の参加者
セミナー内でライセンスについて触れると思っていなかったので監視を含め持ち帰り検討したいです。 もう少しOSS自体の連携の実例等について触れてほしかったです。
匿名の参加者
コメントなし
企業に対してITを提供する企業(ベンダー、SIerなど) 40代 男性 の参加者
コメントなし
匿名の参加者
コメントなし
企業に対してITを提供する企業(ベンダー、SIerなど) 50代 男性 の参加者
コメントなし
医療業・福祉業 40代 男性 の参加者
コメントなし
その他のIT関連業 20代 男性 の参加者
OSSの具体的な活用事例や今後の潮流などを期待していたが、その点はそれほど触れられていなかったので残念でした。
企業に対してITを提供する企業(ベンダー、SIerなど) 20代 男性 の参加者
コメントなし
製造業 50代 男性 の参加者
今まで気にしていなかったことに気付けてよかった。OSSは利用していないが企業ユースを考えた場合覚悟が必要だと分かった。
匿名の参加者
コメントなし
企業に対してITを提供する企業(ベンダー、SIerなど) 20代 男性 の参加者
自分の認識を確認するという意味では満足した。
消費者に対してITを提供する企業(Webサービス、ゲームなど) 40代 男性 の参加者
コメントなし
匿名の参加者
コメントなし
その他のIT関連業 50代 男性 の参加者
米国のOSS利用のお客様状況が良くわかった。
匿名の参加者
コメントなし
匿名の参加者
各OSSの実際の利用用途や方法、活用事例を聞きたかった。

米国におけるオープンソース最新活用状況
© 2017 Rogue Wave Software, Inc. All Rights Reserved.
1
本日のアジェンダ



会社概要
米国におけるオープンソース最新活用状況
オープンソーステクニカルサポート
‒ ‒

サポート活用事例
OSSサポートのプロフェッショナルメンバーをご紹介
オープンソース ソフトウェア監査サービス
© 2017 Rogue Wave Software, Inc. All Rights Reserved.
2
会社概要
社 名:ローグウェーブ ソフトウェア ジャパン株式会社(本社:米国コロラド州)
設 立:1991年(米国本社:1989年)
所在地:東京都千代田区二番町5-5 番町フィフスビル
代表者:代表取締役社長 小林 敏知
事業内容
‐オープンソースソフトウェア(OSS)の技術サポート、監査・診断サービス
‐組み込みコンポーネント及び業界標準ライブラリの提供
-各種開発ツールの提供
-各種サポート、保守、サービスの提供
 加盟団体
日本OSS推進フォーラム
NPO法人オープンソースソフトウェア協会(OSSAJ)
OSSコンソーシアム
PostgreSQLエンタープライズコンソーシアム(PGECons)
新経済連盟





© 2017 Rogue Wave Software, Inc. All Rights Reserved.
3
沿革
1989年 C++コンポーネントの開発ベンダーとして米国に設立
1991年 日本法人設立
2009年 ビジュアルニューメリックス(Visual Numerics)を買収し、数値解析・可視化データ解析分野に進出
2010年 TotalView Technologiesを買収し、並列デバッガ業界に参入
2011年 Visual Numericsの日本法人をローグウェーブソフトウェアジャパン㈱に社名変更
2012年 IBMのILOG Visualization for C++事業を買収
2013年
CentOSサポート・サービスのディストリビューションOpenLogic社を買収し、オープンソース業界に参入
静的コード解析ソフトウェア「Klocwork」を買収し、ソースコード解析分野に進出
2014年 IBMの可視化ツールおよびコンポーネント事業を買収(ILOG JViewsおよびElixir)
2015年 PHP専業ベンダー Zend(Zend Technologies)を買収し、PHP分野に参入
2016年 API管理のAkana社を買収し、API市場に参入
© 2017 Rogue Wave Software, Inc. All Rights Reserved.
4
グローバルオフィス
世界57ヵ国、3,000以上の顧客にソリューションをご提供
ドイツ
カナダ
オレゴン
英国
フランス
マサチューセッツ
コロラド(本社)
日本(東京都千代田区)
テキサス
RogueWave Software
CEO, Brian Pierce
© 2017 Rogue Wave Software, Inc. All Rights Reserved.
5
世界のお客様
あらゆる業界で利用されているローグウェーブのソリューション
© 2017 Rogue Wave Software, Inc. All Rights Reserved.
6
グローバルビジネスパートナー
ソフトウェア パートナー
ハードウェア パートナー
© 2017 Rogue Wave Software, Inc. All Rights Reserved.
7
ローグウェーブソフトウェアについての会社情報は、以下のWEBサイトをご覧ください。
http://www.roguewave.jp/
© 2017 Rogue Wave Software, Inc. All Rights Reserved.
8
米国におけるオープンソース
最新活用状況
© 2017 Rogue Wave Software, Inc. All Rights Reserved.
9
Headline
• オープンソースの使用と利用
• オープンソースの時代
• 最近のトピックス
• オープンソースサポートから見えてくるもの
• オープンソースリスクとライセンス
© 2017 Rogue Wave Software, Inc. All Rights Reserved.
10
オープンソースの使用と利用
企業がオープンソースを活用する際に注意すべきこと
 オープンソースは ”フリー” ではない
 コミュニティは何をしてくれるか?
 OSSのメリットとデメリット(リスク)
 「使用」と「利用」の違いを認識する
*ちなみに、使用と利用の違いは著作権法で定められています。
「著作権審議会マルチメディア小委員会 ワーキング・グループ中間まとめ」
http://www.cric.or.jp/db/report/h10_2/h10_2_main.html
※「使用」とは、著作物を見る,聞く等のような単なる著作物等の享受を指す
※「利用」とは、複製や公衆送信等著作権等の支分権に基づく行為を指す
© 2017 Rogue Wave Software, Inc. All Rights Reserved.
11
オープンソースの使用と利用
商用ソフトとオープンソースの比較
使用
利用
商用ソフト - 使用許諾 - ソースコード非公開
- メーカサポート - 基本禁止
オープンソース - 自由(フリー) - ソースコード公開
- 使用者責任 - 利用許諾(ライセンス)
- 利用者責任
● 使用するには:製品知識が必要
● 利用するには:製品知識とライセンス・リスク管理が必要
© 2017 Rogue Wave Software, Inc. All Rights Reserved.
12
オープンソースの時代
Predicts 2011:
(23 Nov.2010, ID:G0020918)
• 2016年までに 99%のミッションクリティカル
なソフトウェアに OSSが含まれるだろう
• 2016年までに非IT系の主要な大企業は
競合に勝つための ビジネス戦略としてOSS
を利用するだろう
www.gartner.com/doc/1476015/predicts--opensource-software-power
© 2017 Rogue Wave Software, Inc. All Rights Reserved.
13
オープンソースの時代
Rod Cope、CTO
ローグウェーブ ソフトウェア
Rod Cope、CTO
ローグウェーブ ソフトウェア
企業がオープンソースを利用する時代に到達しました。私にとってこれに勝る喜びはあ
りません。現在把握すべきなのは、以前のようなあなたの組織がオープンソースを使
用しているかどうかではなく、アプリケーション内にどのくらいのオープンソースがどのよ
うに存在するか、です。
オープンソースの問題は一般に単一つのパッケージだけに結びついたものではありませ
ん。2016年に顕著だったのは、多くのオープンソースの問題が実際にはすべてのオー
プンソースパッケージをつなぎ合わせる接着剤に存在する、ということです。
オープンソースのサポートに関するレポート。
日本語Blog:http://blog.roguewave.jp/entry/2016/02/open-source-support-the-facts-behind-the-myth
動画(英語):http://www.roguewave.com/events/on-demand-webinars/open-source-support-the-facts-behind-the-myth
© 2017 Rogue Wave Software, Inc. All Rights Reserved.
14
最近のトピックス:政府機関によるOSSの利用推進
最近のトピックス:政府機関によるOSSの利用推進 - 2
合衆国がOSSを受け入れています
アメリカ政府が公式のオープンソースソフトウェアに対するポリシーを定めました
アメリカ政府がオープンソースソフトウェアのハブを作成しました
連邦政府機関がカスタマイズして開発した
OSSのコードを収録したリポジトリ
“Code.gov”が公開
ソースコードポリシーの策定に合わせて、
Code.govは開発された。
Current Awareness Porta 2016/11/11
Https://obamawhitehouse.archives.gov/blog/2016/11/0
3/peoples-code-now-codegov
© 2017 Rogue Wave Software, Inc. All Rights Reserved.
15
最近のトピックス:政府機関によるOSSの利用推進
ブルガリアがOSSの利用でリードしています
政府機関向けのソフトウェアがオープンソースで、公開されたリポジトリで開発されました
ブルガリア、政府調達ソフトウェア(の一部)を
オープンソース化する法律を制定
TechCRunch, 2016/07/08
http://jp.techcrunch.com/2016/07/08/20160705bulgaria-now-
requires-some-government-software-to-be-open-source/
ブルガリアはこの先政府向けに書かれるソフトウェアのすべてが
FOSSでなければならないという同国の電子ガバナンス法に対する
いくつかの修正条項を制定した。
© 2017 Rogue Wave Software, Inc. All Rights Reserved.
16
最近のトピックス:政府機関によるOSSの利用推進
中国はOSSに取り組んでいます
中国はオープンソースプロジェクトを受け入れ、貢献し始めています
「Baidu(バイドゥ)が機械学習プラットフォー
ム「PaddlePaddle」をオープンソース化」
Verge,2016.09.01
http://www.theverge.com/2016/9/1/12725804/baidu-
machine-learning-open-source-paddle
「中国は「OpenStack」をサポートし、国営企業での
利用を推進と発表」
Forrester 2014/12/04
http://blogs.forrester.com/frank_liu/14-12-24-
openstack_development_will_accelerate_rapidly_in_china_m
arket_in_2015
© 2017 Rogue Wave Software, Inc. All Rights Reserved.
17
最近のトピックス:大企業によるOSSの取り組みが加速
MicrosoftのコードはもはやWindowsのためだけのもので
はありません
コードの高速コンパイルのためのBingのコンポーネントがオープンソース化
MicrosoftがLinux Foundationに参加
「Bingコンポーネントのオープンソース化」
FossBytes, 2016/09/08
https://fossbytes.com/microsoft-working-open-source-
search-components-used-power-bing/
「 MicroSoft が Linux Foundationの プラチナ メン
バーに」 Linux Foundation,2016/11/26,
https://www.linuxfoundation.jp/node/2965/

.Net Core1.0
 FreeBSD in Azure
 Bash on Ubuntu on Windows
Windows Developer
Day, 2017/02/09
Linux版のJava、
PostgreSQLも利用可能に
© 2017 Rogue Wave Software, Inc. All Rights Reserved.
18
最近のトピックス:大企業によるOSSの取り組みが加速
WalMart
ウォールマートは自社の技術スタックと文化を
オープンソース第一主義へと再設計
「Walmartがオープンソースのクラウド&アプリケー
シ ョ ン 管 理 プ ラ ッ ト ホ ー ム OneOps を ロ ー ン チ 」
TechCrunch、2016/01/27
.
http://jp.techcrunch.com/2016/01/27/20160126walmart-
launches-oneops-an-open-source-cloud-and-application-
lifecycle-management-platform/
「WalmartLabsがWalmart.comのアップグレード
に使ったReactベースのアプリケーションプラットホーム
をオープンソース化」
Techcrunch、2016/01/04
http://jp.techcrunch.com/2016/10/04/20161003walmartlab
s-open-sources-the-application-platform-that-powers-
walmart-com/
© 2017 Rogue Wave Software, Inc. All Rights Reserved.
19
最近のトピックス:大企業によるOSSの取り組みが加速
Google
Googleがオープンソースライブラリ「Cartographer」をリリース
「 Google 、 SLAM の オ ー プ ン ソ ー ス ラ イ ブ ラ リ
「Cartographer」を発表
Google Blog。2016/10/06
https://opensource.googleblog.com/2016/10/introducing-
cartographer.html
• 自分の位置と周囲の2D及び3Dの空間マッピングが同時
にできる
• 動画URL:https://youtu.be/DM0dpHLhtX0
© 2017 Rogue Wave Software, Inc. All Rights Reserved.
20
最近のトピックス:大企業によるOSSの取り組みが加速
AT&T
ECOMPがオープンソースコミュニティーに参入
「AT&T、管理プラットフォームECOMPをオープンソースに
移行」
AT&T Innovation Blog、2017/02/01
http://about.att.com/innovationblog/linux_foundation
© 2017 Rogue Wave Software, Inc. All Rights Reserved.
21
最近のトピックス:時代の過渡期 – OSSに関する法定闘争
ORACLEとGoogleが
ついに法廷で対決
VS
2016年はORACLEとGoogleが法廷で最終対決
をした年でした。 2014年に始まり、間違いなくいくつ
かの動議、申し立て、膨大な法律手数料があったに
違いない一連の出来事が、4月についに山場を迎え、
裁判が開始しました。
2017年2月10日、ORACLEが上訴
ライセンスリスク
この裁判ではAPIが焦点となり、裁
判所の判決はAPIが著作権保護の
対象になる、というものでした。システ
ム構築に投資する際にはオープン
ソースのライセンスを管理し、さらに
APIも管理する必要があります
© 2017 Rogue Wave Software, Inc. All Rights Reserved.
22
オープンソースのサポートから見えてくるもの
OSSのサポートは誰が行いますか?
OSSサポートベンダー 16%
会社のIT部門 17%
開発者自身
67%
2016 On demand Webinar 参加者アンケートより
© 2017 Rogue Wave Software, Inc. All Rights Reserved.
23
オープンソースサポートレポート
サポート対象OSS (2016)
375
ユーザの分類
• 銀行 ※ 2016年リクエストの約20%が銀行
• 保険
• 情報サービス
• 製造
• SIer・保守管理会社
• 米国:企業からの直接質問が多い
• 日本:SierやIT管理会社経由の質問が多い
OSSサポートチケット 2016実績
1,244
© 2017 Rogue Wave Software, Inc. All Rights Reserved.
24
トップサポートリクエスト 2016
Source: Rogue Wave Software Support data, 2016
APACHE HTTP SERVER
(HTTPD)
12%
9% JBOSS APPLICATION SERVER
9% APACHE TOMCAT
7% 7%
4%
2%
ACTIVEMQ
ECLIPSE
CENTOS
JDK
1% MYSQL
1% FIREFOX
1%
2015
OPENSSL
© 2017 Rogue Wave Software, Inc. All Rights Reserved.
25
WildFly, ActiveMQ, Eclipseのサポート件数推移
2012-2017
100
80
60
Eclips
40
ActiveMQ
20
WildFly
0
2012
2013
2014
2015
WildFly
ActiveMQ
2016
2017
Eclips
*2017は4/10までのデータ
© 2017 Rogue Wave Software, Inc. All Rights Reserved.
26
その他のサポートパッケージリクエスト
WinSCP
PostgreSQL
Jenkins
HornetQ
Subversion
Squirrel SQL
Drupal8
Spring
Source: Rogue Wave Software Support data, 2016
© 2017 Rogue Wave Software, Inc. All Rights Reserved.
27
日本であまり普及していないOSSのサポート件数推移
2012-2017
45
40
35
30
25
20
15
10
5
0
2016
2014
2012
2012
2013
2014
2015
2016
2017
*2017は4/10までのデータ
© 2017 Rogue Wave Software, Inc. All Rights Reserved.
28
ご参考:ActiveMQに関するブログ
Justin Reock
Senior Director, Support & Professional Services
「ActiveMQの Pluggable storage
lockers」
http://blog.roguewave.jp/entry/2016/08/pluggable-
storage-lockers-for-activemq
「ActiveMQのデスティネーションポリシー:
AbortかAckAbortか」
http://blog.roguewave.jp/entry/2016/07/activemq-to-
abort-or-ackabort
© 2017 Rogue Wave Software, Inc. All Rights Reserved.
29
日本であまりサポートが提供されていないOSSのサポート件数推移
2012-2017
100
80
60
2016
40
2014
20
2012
0
2012
2013
2014
2015
2016
2017
*2017は4/10までのデータ
© 2017 Rogue Wave Software, Inc. All Rights Reserved.
30
オープンソースに関する問題の原因
開発チームは、使用しているオープンソースを
サポートする準備ができていません
80%
その他
20%
環境要因
41%
の問題は製品についての知識不足か、
あるいはパッケージの外部環境に起因しています。
開発者は、使用しているOSSパッケージやそのパッケージ内の問題をどのよう
に修正するかを知っているかもしれません。 しかし、問題は通常、パッケージ
自体にはありません。 また、開発者は、さまざまなパッケージが絡み合う問題
をどのように解決すれば良いのか知らないことがよくあります。
設定
39%
OSSサポートが必要な理由
~サポートリクエストの分析から~
© 2017 Rogue Wave Software, Inc. All Rights Reserved.
31
サポートによく寄せられる質問
1
2
3
4
5
このパッケージに含まれる特定の機能の設定方法や使用方法は?
このセキュリティアップデートによる影響は?
このスタック内で組織のプロプライエタリなコードとオープンソースコード間の
バグを特定する方法は?
最もニーズに適しているパッケージまたはバージョンは?
私にとってこの2つのバージョンの違いは?
© 2017 Rogue Wave Software, Inc. All Rights Reserved.
32
OSSサポートリクエストの変化
1
2
3
私たちはますます多くのパッケージをサポートするようになりました。
昨年は約350のパッケージをサポートし、今年は400以上のサポートを提供しました。私たちのOSS
サポートに対するコミットメントが増加したということは、OSSを使用する開発者たちが増加しているこ
とを反映しています。
人々はより幅広いOSSパッケージを使うようになりました。
私たちが受け取ったサポートチケットの数は増えましたが、サポートリクエストは以前に比べてより多くの
OSSパッケージに分布するようになりました。
OSSの風景が変わるにつれ、私たちが見るパッケージも変わります。
HTTPDは成熟したパッケージなので、減少が着実な見込まれます。 一方、Eclipseは最近もリ
リースを行っており、チケット数が増えています。
2017年、OSSは私たちにどのような風景を見せてくれるのでしょうか?
© 2017 Rogue Wave Software, Inc. All Rights Reserved.
33
開発者がOSSを選択する上で重視する条件
製品に含まれているOSSを
すべて把握してますか?
入れ子になっている事もあ
ります。
54%
製品リリース後も常
に注視しておく必要
があります。
53%
注意
45%
36%
10%
技術サポートの
利用可否
ライセンス
の柔軟性
コード
のセキュリティ
組織の承認
34
その他
© 2017 Rogue Wave Software, Inc. All Rights Reserved.
34
コードの中に膨大なコピーレフトライセンス
2016年ローグウェーブの監査(Audit)チームは、数百万もの
ファイルをスキャンし、お客様のソースコードからオープンソース
パッケージ、オープンソースライセンス、商業コードおよびレガシー
コードを探し出しました。
監査一回につき平均で63個のOSSパッケージと16個のOSS
ライセンスが見つかり、スキャンされたファイルの45%にOSSが
含まれていました。
60%
の監査で強いコピーレフトのライセ
ンスが見つかりました。
これは、修正や派生的な作業を
行なった場合にソースコードの提
供を要求するものです。
コピーレフトライセンスが
82%
の監査で発見されました。こ
れは配布に際してソースコー
ドへのアクセスを要求するも
のです。
特定されたライセンス上位10
• MIT License
• BSD 3-clause New or Revised License/BSD 2-clause
simplified
• Apache License 2.0/Apache 1.1
• GNU Lesser General Public License v2.1
• GNU General Public License v2.0
• Common Development and Distribution License 1.0
• Microsoft Public License (Ms-PL)
• Eclipse Public License 1.0
• Mozilla Public License 1.1
• GNU General Public License v3.0
20%
が「フリー」ライセンスを含んでいまし
た。これは商業利用を制限するもの
です。
つまり非商用利用のみ許可されて
います。
Gartner
OSSが
98%
の監査で発見されました。
Predicts 2011
!?
© 2017 Rogue Wave Software, Inc. All Rights Reserved.
35
オープンソースはどこから入ってくるの?
“90% of code in modern applications is open source” and
“31% of companies have had or suspect a breach in an open source
component“
サプライチェーン
コード
内部開発コード
誰も知らないうちに混入する事も
再利用コード
オープンソースコ
ミュニティ
サードパーティコー

レガシーコード
配布コード
カスタマコード
© 2017 Rogue Wave Software, Inc. All Rights Reserved.
36
企業合併や買収にも注意が必要
M&A
一般に 95% のコードベー
スには特定されていない
オープンソースが含まれてい
ます
オープンソースに関連する法的なリスクおよびセキュリティ
とビジネスリスクを明らかにする必要があります
• M&A(合併・買収)が進行している時に、素早く・安全に、ソフトウェアの知的資
産(IP)を分析し、それを必要としている営業・法務・エンジニアリングチームに提供
する必要があります。(M&Aが終了してからでは遅すぎます)
• 会社が合併や買収を行う際には、特にソフトウェアの利用とライセンス義務の準拠
についてのデューデリジェンス(適正評価手続)に配慮する必要があります。
© 2017 Rogue Wave Software, Inc. All Rights Reserved.
37
ライセンスリスク
一般にオープンソースのライセンスは、「オープンソースの利用許諾」という大きな恩
恵を与えてくれる一方、例えば、以下の様なデメリットやリスクがあります。
 ソースコードの開示
 ライセンス違反による訴訟、製品や会社/組織への風評ダメージ
*参考:「オープンソースライセンスの基礎と実務」 可知豊
https://www.slideshare.net/YutakaKachi/ss-8616029
© 2017 Rogue Wave Software, Inc. All Rights Reserved.
38
オープンソースの脆弱性
© 2017 Rogue Wave Software, Inc. All Rights Reserved.
39
脆弱性データベースの活用:CVE
Common Vulnerabilities and Exposures (CVE)
MITRE社、多くの検査ツールや情報サービスが利用
CVE-2016-*****
https://cve.mitre.org/
MIRTREは2015/1/15より年号の後の
数字を5桁に
*2016年の最後はCVE-2016-
10328
© 2017 Rogue Wave Software, Inc. All Rights Reserved.
40
脆弱性データベースの活用:JVN
Japan Vulnerability Notes(JVN)
JPCERTとIPA、日本で使用されているソフトウェアなどの脆弱性
関連情報とその対策情報を提供
JVN#********
http://jvn.jp/index.html
勿論、日本語のサイト。
CVE番号も記載してあります。
JVN iPedia
JVNDB-2016-******
http://jvndb.jvn.jp/index.html
© 2017 Rogue Wave Software, Inc. All Rights Reserved.
41
オープンソースの脆弱性対応
1. アプリケーションのどこにどんなOSSが存在するかを把握し
ておく必要がある


ミッションクリティカルなアプリケーションの98%にOSS
その80%にコピーレフトライセンス、20%にフリーライセンス
2. 常に関連するOSS脆弱性情報を注視しておく


年間10,000の脆弱性情報
上記1がルーズだと対応が遅れます!
3. 脆弱性が報告されたら、素早く対応し情報を公開する

素早い発見、対応、公開が重要
© 2017 Rogue Wave Software, Inc. All Rights Reserved.
42
オープンソースは全ての企業に不可欠です!
 2016年は政府機関や大規模な組織にオープンソースが受け入れられた年でした。
 オープンソースの脆弱性とセキュリティ問題を理解することはますます重要になってきています。
 この傾向は2017年にも継続することが予測され、最終的にはあらゆる業界や国でOSSがさらに採用される
Richard Sherrard
製品管理ディレクター
ローグウェーブ ソフトウェア
ことになるでしょう。
 オープンソースとうまく付き合いためには、あなたの組織がオープンソースを使用しているかどうかではなく、ア
プリケーション内にどのくらいのオープンソースがどのように存在するか、を知る必要があります。
© 2017 Rogue Wave Software, Inc. All Rights Reserved.
43
ローグウェーブの オープンソース
テクニカル サポートサービス
© 2017 Rogue Wave Software, Inc. All Rights Reserved.
44
ローグウェーブのオープンソーステクニカルサポートとは?
 CentOSをはじめとした450種類以上の技術サポートをご提供
 クラスタ構成や移植、パフォーマンスチューニングなどのシステム構築を支援
詳細はこちら⇒http://www.roguewave.jp/products-services/openlogic/centos-support
© 2017 Rogue Wave Software, Inc. All Rights Reserved.
45
ローグウェーブのオープンソーステクニカルサポートとは?
CentOSサポートについて
 CentOSに特化した専門チームによるサポート
パッチの提供によるCentOSコミュニティへの貢献
 ベンダーロックインからの解放
 AzureやAWS上でもサポートを提供
 ローグウェーブ独自のパッチ提供
詳細記事はこちらです⇒ http://blog.roguewave.jp/entry/2016/09/contributing-back-to-centos
© 2017 Rogue Wave Software, Inc. All Rights Reserved.
46
お客様にご満足いただける5つの特徴
経験と実績 柔軟なサポートプラン 10年以上続くOSS 幅広いサポート環境
最高峰の技術集団による
質の高いサポートを
提供
・24時間365日サポート Linuxに限らずWinや
・必要なサポートレベルに MacOSなど商用OS上
応じた柔軟なサポート のOSSもサポート
プラン
業界N0.1のカバレッジ
アプリケーション基盤から
開発ツールまで450種類
以上サポート
無制限対応
英語、日本語で
国内外から問い合わせ
お客様の担当者数および
インシデント数無制限
どうせ頼むなら
世界No.1のサポートベンダーに依頼したほうがよくないですか?
© 2017 Rogue Wave Software, Inc. All Rights Reserved.
47
ローグウェーブのサポートはここまで充実しています
契約外のOSSも一度だけサポートのトライアル(お試し)ができる
サポートのクォリティに問題無いのかな?
回答が来るまでどのくらい時間がかかるのかな?
質問や依頼内容はうまく伝わるのかな?
※「トライアル希望」と日本語でいただけましたら、日本のスタッフがサポートいたします。
OSSテクニカルサポートのトライアルリクエストは、こちらまでメールください⇒ sales@roguewave.jp
© 2017 Rogue Wave Software, Inc. All Rights Reserved.
48
ローグウェーブのサポートはここまで充実しています
最新の脆弱性アップデート情報が配信される
CVE(Common Vulnerabilities and Exposures)
CVE-2017-5549
サマリー: 4.9.5より前のLinux Kernelのdrivers/usb/serial/kl5kusb105.cに含まれるklsi_105_get_linestate関数は、回線
状況の読み取りに失敗したときに、初期化されて
いないヒープメモリの内容をログエントリに配置します。このため、ローカルユーザーは
ログを読み取って機密情報を入手することができます。
CVE-2015-8985
サマリー: GNU Cライブラリー (別名glibcまたはlibc6) のpop_fail_stack関数により、
コンテキスト依存の攻撃者は拡張正規表現の処理に関連するベクターを介して、DoS
(アサーションの失敗およびアプリケーションクラッシュ)を引き起こす可能性があります。
CVE-2017-5638
サマリー: 2.3.32より前のApache Struts 2 2.3.xおよび2.5.10.1より前のApache Struts 2.5.xのJakarta Multipart
パーサーはファイルアップロードを誤って処理します。このため、リモート攻撃者は細工したContent-Type HTTP
ヘッダーの#cmd= stringを介して任意のコマンドを実行することができます。
これは、2017年3月に感染が報告されました。
© 2017 Rogue Wave Software, Inc. All Rights Reserved.
49
ローグウェーブのサポートはここまで充実しています
~Security based updates~
最新のセキュリティ、メンテナンス、機能のリリースなど以下のようなアップデート情報が配信される
OpenSSH 7.5
• 次回のメジャーリリース (6月~8月の予定) で、SSH v.1プロトコルの残っているサポートを外します。
(現在、クライアントのみでコンパイル時に無効になっています)
• 同じリリースで、BlowfishとRC4暗号およびRIPE-MD160 HMACのサポートを外します。
(現在、これらは実行時に無効になっています)
• 同じリリースで、クライアントにデフォルトで提供されるものから、残っているCBC暗号を削除します。
(ここ数年、これらのCBC暗号はsshdにデフォルトで提供されていません)
• 1024 ビットより小さいRSA鍵をすべて拒否します。 (現在の最小値は768ビットです)
Tomcat 6.0.51
• JSP用に生成されるコードをリファクタリングして、タグに必要なコードのサイズを削減します。(markt)
• org.apache.catalina.realm.LockOutRealmを使用するようにデフォルトのconf/server.xmlファイルのレルム構
成を変更します。
• LockOutRealmは6.0.19以降で利用可能ですが、デフォルトで構成されていません。(kkolinko)
• OpenSSL 1.0.2kでビルドされた最新のWindowsバイナリーを取得するために、パッケージバージョンのTomcat
Native Libraryを1.2.12にアップデートします。(violetagg)
• Windowsインストーラーをビルドする際に使用するNSISインストーラーをバージョン3.01にアップデートします。(markt)
© 2017 Rogue Wave Software, Inc. All Rights Reserved.
50
サポート活用事例
© 2017 Rogue Wave Software, Inc. All Rights Reserved.
51
事例紹介(Apache Tomcat編)
最近Tomcat上で新しいアプリを設定しました。全てのトラフィックをTomcat上で実行されるrootアプリに向けたい
のですが、サポート願えるでしょうか。ネットワークをTomcatサーバに直接接続するように設定してみました。
顧客
顧客
それは良い使い方ではないですね。Tomcatサーバーの前にプロキシを配置してTomcatサーバーへのアクセ
スを制限し、そのプロキシから静的リソースを提供する必要があります。
プロキシ構成(mod_proxy_ajpを使用したApache Web Server)をチェックしてみますね。
プロキシサーバー接続だけに権限を与えたおかげで、多くのセキュリティ脆弱性が軽減され、全
体的なセキュリティが強化されて全てのリクエストが効率的に処理されるようになりました。
担当者:Andrew C
経 験:20年
得意分野/業界:Linux、ネットワーク、セキュリティ
得意なOSS:Apache HTTP、OpenSSL
© 2017 Rogue Wave Software, Inc. All Rights Reserved.
52
事例紹介(Apache HTTP Server編)
Apache Webサーバービルドに長年にわたり脆弱性があります。
まずスキャンしてみますね
顧客
Webサーバーがポート80で公開されているようですね。これはSSLがサーバー上で有効になっていな
いことを示しています。悪いことに、SSLを有効にするためにOpenSSLをApacheにビルドしようと
すると、プロセスが実行中にsegfaultingしてしまうんですね。
OpenSSLのソースコードを同梱していないApacheをビルドしようとしていました。
顧客
OpenSSLは常にビルドしなければいけないので、コンパイルされたコードに対してApacheをビルド
してください。この一連の作業内容をご説明しましょう。そうすればSSLを有効にして脆弱性をなく
すことができます。
名 前:Andrew P
経 験:4年
得意分野/業界:Linux、ネットワーク、セキュリティ
得意なOSS:Apache HTTP、OpenSSL、
© 2017 Rogue Wave Software, Inc. All Rights Reserved.
53
事例紹介(Jboss編)
JbossアプリケーションサーバーからのHornetQソケット接続が途中で終了してしまいます。
顧客
似たようなHornetQ問題をいくつか見てきました。調査の結果、Lossyネットワークは、
HornetQのデフォルトのTTL設定が十分長くなかったため、断続的なTTLタイムアウトが発生
していることがわかりました。
TTLを増やしたことで、ソケットが早くクローズしなくなりました。ありがとう!
顧客
対応者:Bill
経 験:21年
得意分野:設計、開発、サポート
得意なOSS:Tomcat、Java、JBOSS/Wildfly
© 2017 Rogue Wave Software, Inc. All Rights Reserved.
54
OSSサポートのプロフェッショナル・メンバーを一部ご紹介
そのオープンソース
私がサポートしています。
© 2017 Rogue Wave Software, Inc. All Rights Reserved.
55
OSSサポートのプロフェッショナル・メンバーを一部ご紹介

前:Justin

験:18年
得意分野:設計、開発、サポート
得意なOSS:ActiveMQ、Camel、CentOS、Java、Apache Web Server、PostgreSQL

前:Vince

験:25年
得意分野:DevOps、OS、データベース、ネットワーク、アプリケーション全般
得意なOSS:Apache、MySQL、PostgreSQL
名 前:Joe
経 験:20年
得意分野:J2EEのアーキテクチャとソリューション
得意なOSS:JBOSS、Tomcat、Apache
© 2017 Rogue Wave Software, Inc. All Rights Reserved.
56
OSSサポートのプロフェッショナル・メンバーを一部ご紹介
名 前:Tendai
経 験:25年
得意分野/業界:C,C++,Java言語ソフトウェア設計・開発/金融、自動車、ヘルスケア
得意なOSS:JBOSS/Wildfly
名 前:Rich
経 験:19年
得意分野/業界:CentOS、LinuxベースのOpenWRT、MSのP to P、P to Multipoint RF
得意なOSS:CentOS –ベアメタルと仮想化、特にAWSのインスタンス、組み込み系Linux
(OpenWRT)、Vagrant、Packer、ISC DHCP、RRDTool、buildroot、BackupPC、
Nagios、MySQL
名 前:Mike
経 験:30年
得意分野/業界:C++、C、C++ Standard Template Library、Agile、CentOS
得意なOSS:CentOS
© 2017 Rogue Wave Software, Inc. All Rights Reserved.
57
OSSサポートメニュー
日本語サポート
サービス内容
サポート対応時間
受付方法
インシデント数
お問合せ窓口特定
問い合わせ人数
料金体系
・日本語によるサポート
・24時間以内に受付確認
シルバーサポート
・日本語によるサポート
・4時間以内に受付確認
・最短5日以内に解決策を提供
ゴールドサポート
・日本語によるサポート
・4時間以内に受付確認
・最短72時間以内に解決策を提供
平日9時~18時(日本時間) 0時~12時(米国時間) eメール eメール、もしくは電話 24時間365日
eメール、もしくは電話
制限なし 制限なし 制限なし
なし なし なし
制限なし 制限なし 制限なし
・サーバ25台までは一律価格
・初回はシルバーサポート必須、 ・サーバ25台までは一律価格
サーバやOSSの追加で適用
・サーバ25台までは一律価格
価格につきましては、お問合せください。
サポート詳細はこちら⇒ http://www.roguewave.jp/products-services/openlogic/open-source-support
© 2017 Rogue Wave Software, Inc. All Rights Reserved.
58
450種類を超えるOSSサポートカバレッジ
分  類
サポートレベル
パッケージ名
分  類
ゴールド
シルバー
ブロンズ
1
ActiveMQ
ミドルウェア
2 Apache Camel
Apache HTTP Server (httpd)
4 Apache ServiceMix / Jboss Fuse ESB
5
12x5 9:00-6:00
英語サポート 3 24x365 英語サポート 日本語サポート



ミドルウェア
Apache Tomcat
○ ○ ○
フロントエンド ○ ○ ○
ミドルウェア ○ ○ ○
○ ○ ○
6 CentOS OS ○ ○ ○
7 Docker インフラストラクチャ ○ ○ ○
8 Eclipse Platform Project 開発ツール ○ ○ ○
9
10
アプリケーション
Firefox
Hibernate Core
開発ツール
HornetQ (Jboss Messaging)
11 JBoss Server (Wildfly)
12 Karaf
13
mod_jk (Tomcat Connectors)
14 MySQL Community Server / MariaDB
15 openjdk
16 OpenSSL
17
Oracle Java
18 PostgreSQL
19 Apache TomEE
20
21
WinSCP
389 Directory Server
22 7Zip
23 Alfresco Community Edition
24
25
Android SDK
AngularJS
26 Ansible
27 Antcontrib
28
AOP Alliance



データベース ○ ○ アプリケーション ○ ○ ○
インフラストラクチャ ○ ○ ○
フロントエンド
データベース



○ ○
アプリケーション ○ ○ ○
セキュリティ ○ ○ ○
アプリケーション





データベース ○ ○ ○
アプリケーション ○ ○ ○
開発ツール ○


セキュリティ ○ ○
開発ツール ○ ○
アプリケーション ○ ○
アプリケーション
アプリケーション




インフラストラクチャ ○ ○
開発ツール ○ ○
アプリケーション ○ 開発ツール ○ ○
データベース ○ ○
○ ○
29 Apache Ant 30 Apache Cassandra 31 Apache CXF ミドルウェア

32 Apache Derby データベース ○ ○
33 Apache Geronimo アプリケーション ○ ○
34 Apache Jackrabbit データベース ○ ○
Apache SOAP ミドルウェア ○ ○
Apache Solr データベース ○ ○
35
36
Apache Spark アプリケーション ○ ○
38 Apache Struts アプリケーション ○ ○
39
37
Apache XML Commons アプリケーション ○ ○
40 Apache XMLRPC アプリケーション ○ ○
41 Apache XmlSchema アプリケーション ○
種  類
アプリケーション 191
開発ツール 120
インフラストラクチャ 48
データベース 43
セキュリティ 26
ミドルウェア 11
フロントエンド 11
OS 3
監視ツール 1
合  計 454

42
43
Artifactory
asterisk
44 Axis2
45 bacula
インフラストラクチャ


インフラストラクチャ ○ ○
ミドルウェア ○ ○
インフラストラクチャ ○ ○
全リストは「対象OSSパッケージ」をご覧下さい⇒ http://www.roguewave.jp/products-services/openlogic/open-source-support
© 2017 Rogue Wave Software, Inc. All Rights Reserved.
59
オープンソース・ソフトウェアの
監査サービス
© 2017 Rogue Wave Software, Inc. All Rights Reserved.
60
※ベンダーロックイン(英: vendor lock-in)とは、特定ベンダー(メーカー)の独自技術に
大きく依存した製品、サービス、システム等を採用した際に、他ベンダーの提供する同種の
製品、サービス、システム等への乗り換えが困難になる現象のこと。(Wikipediaより)
オープンソースソフトウェア(OSS)テクノロジーは2016年にはグローバル企業の99%のミッションクリティカル
なソフトウェアパッケージに含まれるようになるという。(By Gartner)
© 2017 Rogue Wave Software, Inc. All Rights Reserved.
61
OpenLogic時代に行った調査
~ITメディアなどの記事を抜粋~
もしかしたら…の可能性
 御社もGPL違反をしているかもしれません
 誰かが訴えの準備をしているかもしれません
 明日警告通知がくるかもしれません
「他人が作ったものだから知らない」では
済まされないという事実
記事詳細はこちらです⇒ http://www.itmedia.co.jp/enterprise/articles/1007/05/news016.html
© 2017 Rogue Wave Software, Inc. All Rights Reserved.
62
オープンソース・ソフトウェアライセンス違反による係争事例
 某ゲームソフトに使用されていたOSSライセンスで違反が発覚(GPL違反)
 エプソン社がドライバをバイナリで配布したがGPLライブラリが混入(GPL違反)
 高木浩光氏 対 岡山県
それは
違うやろ!
・岡山県が配布する電子申請用証明書のインストーラにApacheライセンスのjarファイルを同梱
・ダウンロードの際に表示される著作権者名を岡山県としていたため、高木氏が岡山県を相手取り権利を主張
 MySQL対NuSphere社(米:訴訟まで発展)
 Cisco対FSF(米:ルータのファームでGPL違反)
 Fortinet対GPL GPL Violation Org.(独:販売差止命令)
 NetFilter対SiteCom(独:訴訟まで発展)
リスクを負わないためにもOSS監査を受けましょう!
© 2017 Rogue Wave Software, Inc. All Rights Reserved.
63
御社をリスクから守るオープンソース監査サービスとは?
 アプリケーションパッケージ内に含まれるOSS明細をリストアップ
 関連するライセンスと義務条項をチェック
 コンプライアンスに抵触しないための対応方法をわかりやすくアドバイス
OpenLogic監査の強みと優位性
 OpenLogic時代から築き上げた15年の実績と高い専門性
 優れたスキャンツールとエキスパートによりサブコンポーネントまで見落とさない高精度
 複雑に絡み合ったライセンスや競合する義務条項も的確に指摘
 OSS監査に精通したエキスパートが結集した世界最大規模を誇るナレッジベース
 スポットとサブスクリプションモデルの適用により、優れたコストパフォーマンスを実現
企業リスクを負わないためにもOSS監査を受けましょう!
© 2017 Rogue Wave Software, Inc. All Rights Reserved.
64
監査サービスのデリバリまでの流れ
・Step1~5まで1ヶ月前後
・日本語で対応
・トライアル監査あり
※2,000ファイルでお試し(有償)
© 2017 Rogue Wave Software, Inc. All Rights Reserved.
65
オープンソース監査レポート(サンプル)
監査レポートのサマリー
和訳後
納品
© 2017 Rogue Wave Software, Inc. All Rights Reserved.
66
オープンソース監査レポート(サンプル)
オープンソースの明細
非オープンソースの明細
© 2017 Rogue Wave Software, Inc. All Rights Reserved.
67
オープンソース監査レポート(サンプル)
オープンソースライセンスの明細
義務条項の詳細
© 2017 Rogue Wave Software, Inc. All Rights Reserved.
68
オープンソース監査レポート(日本語サンプル)
© 2017 Rogue Wave Software, Inc. All Rights Reserved.
69
オープンソース監査例
このOSSのアドオンを
開発するから販売して
欲しいんですよ
A社
近い将来SaaS化して
顧客から課金する事
も考えているんです
そうだ!ローグウェーブの
監査サービスを受けよう!
そのOSSって改変して
もライセンス違反には
ならないんですか?
リネームして勝手に販売
しても著作権侵害は問題
無いんですか?
A社の販売
パートナー
SaaS化してお金をもらっても
ライセンス的に問題無いか
調べた方がよいと思いますよ
© 2017 Rogue Wave Software, Inc. All Rights Reserved.
70
OSS監査・診断Yes/Noチャート
NO
現在、社内でOSSパッケージを利用している
現在は利用していないが近日、OSSが絡むアプリケーションを利用する、
あるいはアドオン・組み込み開発などの予定がある
NO
OSS監査・診断は不要です
YES
そのパッケージは社外のベンダーが開発した(かもしれない)、
もしくは開発者が定かではないが、何となく利用している
NO
YES
YES
ソースコード改変時の公開義務、商用ソフトウェアへの不正流用、著作権表示、GPL
違反等は問題ないという事を調査済みである
NO
OSS監査サービスを受けましょう。
コード内にあるOSSと、そのライセンスおよび義務条項を全て洗い出し
ライセンス違反による訴訟リスクを最小限に抑えます。
オープンソース監査・診断
ソリューションをClick!
YES
NO
オープンソース専門家によるお墨
付きをもらっている
YES
OSSライセンスの
監査は不要です
© 2017 Rogue Wave Software, Inc. All Rights Reserved.
71
最後に
各種リンク
OSSテクニカルサポート、および450種類のOSSサポートリストについて
http://www.roguewave.jp/products-services/openlogic/open-source-support
CentOSサポートについて
http://www.roguewave.jp/products-services/openlogic/centos-support
ローグウェーブのオープンソースに関するブログ
http://blog.roguewave.jp/entry/2016/02/open-source-support-the-facts-behind-the-myth
OSSサポートのトライアルリクエスト(直接 sales@roguewave.jp あてにリクエストください)
その他、お問合せフォーム
http://www.roguewave.jp/company/contact-us
オープンソース監査について
http://www.roguewave.jp/services/open-source-audits
© 2017 Rogue Wave Software, Inc. All Rights Reserved.
72
ありがとうございました。
ご連絡をお待ち申し上げております。
ローグウェーブ ソフトウェア ジャパン株式会社
営業部 人見 達弥
tatsuya.hitomi@roguewave.com
Phone:03-6380-8796(直通)
Mobile:080-8053-6362
© 2017 Rogue Wave Software, Inc. All Rights Reserved.
73

他のカテゴリから探す

IT業界の改革にご協力いただけませんか?

本サイトは、株式会社オープンソース活用研究所がプロデュースする、中小IT企業による”本気”の情報提供セミナー「マジセミ」の結果レポートページです。「マジセミ」は、次を目的として活動しています。

我々はITエンジニアが、今よりももっと「誇り」と「喜び」をもって仕事をし、今よりももっと企業や社会に貢献できる、そんなIT業界を創りたいと考えています。

そのためには、技術をもった中小のIT企業がもっと元気になる必要がある。その為には、技術をもった中小のIT企業を、もっと皆様に知って頂く必要がある、と考えました。

株式会社オープンソース活用研究所
代表取締役所長 寺田雄一

本当かウソか、あなたが見極めてください。

もし、我々のこの活動にご賛同していただけるのであれば、ぜひ下のセミナーに参加してください。

「なんだ、結局ただの売り込みセミナーじゃないか」

もしそう感じたら、アンケートなり、あなたのFacebookなりに、そのままお書き頂き、拡散して頂いて構いません。

参加者からのお褒めの言葉、お叱りの言葉が、我々中小IT企業を成長させ、それが日本のIT業界を変えていくのだと、強く確信しています。

あなたの行動が、日本のIT業界を変えるのです。

日程を確認していただき、ご興味のあるセミナータイトルをクリックしてください。

「マジセミ」のFacebookページ

今後のセミナー情報などを提供させていただきたますので、「マジセミ」のFacebookページに「いいね!」をお願いします。

日本のIT業界を変えるためのアクション、ありがとうございました!