Flexera、オープン・ソース・アプリケーションのセキュリティ・プロバイダ Palamida を買収

本日は皆様にお知らせがございます。Flexera は、オープン・ソース・ソフトウェア向けのソフトウェア構成分析ソリューションの大手プロバイダである Palamida をこのほど買収しました。

これは Flexera だけでなく、弊社のお客様とパートナにとって朗報です。弊社のビジネスは、世界のソフトウェア製作者と購入者を結び、ソフトウェア・サプライ・チェーンを修復しています。このサプライ・チェーンは、今日のあらゆるビジネス・チェーンのなかで最も機能不全と言えるでしょう。この機能不全により、ソフトウェア製造者とソフトウェアを購入する企業の両方にリスクと費用が生じます。脆弱性の対策のためにライセンス・コンプライアンスとセキュリティを確保するという、多くの時間と費用がかかる複雑な問題を解決しなければならないためです。

弊社の推定によると、ソフトウェア・サプライ・チェーンの機能不全によってソフトウェア製作者とその顧客が被る費用は、世界中で年間に何十億ドルにも上ります。そしてこれは商業用ソフトウェアのみに関する数字です。組織はオープン・ソースの費用とリスクについてやっと目を向け始めたばかりです。そしてその問題の範囲は驚くほどです。この買収は弊社にとって最適なものです。この買収により弊社は、未管理かつ未知のオープン・ソースのソフトウェア・コンポーネントに伴うコンプライアンスとセキュリティのリスクの管理に関して、お客様を支援する能力を高めることができます。

高リスクで未管理のオープン・ソース・ソフトウェアは蔓延している

まず、背景をある程度知っておくと役立ちます。オープン・ソース・ソフトウェアは、事実上すべてのソトウェア開発者に幅広く使用されています。たとえば、商業用のソフトウェア・ベンダーやインテリジェント・デバイス、モノのインターネット(IoT)製造者、あるいは社内使用や顧客利益のために独自のアプリケーションを構築する企業や政府機関などです。このように至る所で使用されているのにも関わらず、オープン・ソース・ソフトウェアは管理されていないことが非常に多いのです。ソフトウェア開発者は、ソフトウェアにどのオープン・ソース・コンポーネントが組み込まれているか、オープン・ソース・コンポーネントがライセンス条件に準拠しているか、ハッカーが利用可能なソフトウェアの脆弱性が含まれていないかを把握したり追跡したりしていないことがよくあります。

OpenSSL 暗号化ライブラリの Heartbleed 脆弱性により、世界中のソフトウェア産業や企業がパニックに陥ったのを覚えおられるでしょう。ソフトウェア開発者は自身の製品に含まれたオープン・ソース・コンポーネントについてよく知らなかったため、そのソフトウェアが脆弱かどうか知りませんでした。そして、そのソフトウェアを使用していたお客様もその脆弱性について知りませんでした。オープン・ソース・ソフトウェアにおけるセキュリティとコンプライアンスのリスクの規模は膨大です。そのため、Flexera は弊社独自のソフトウェアに実施しているのと同じ対策方法で、お客様のリスクを低減します。

Palamida の製品と Flexera のソリューションで生まれる相乗効果

Palamida の製品には Enterprise Edition が含まれており、開発プロジェクトのオープン・ソース・コードやその他のサード・パーティー・コードを承認、スキャン、追跡し、使用中のソフトウェアのライセンス、脆弱性、その他の情報を常に最新に維持するためのエンド・ツー・エンド・ソリューションを求める組織に役立ちます。Standard Edition は、コード・コンテンツの分析を最優先する組織向けに設計されており、Enterprise Edition のスキャンと分析の機能が含まれています。また Governance Edition は、開発者の公開を重視しながらコンプライアンス・プログラムを開始する組織向けに設計されており、Enterprise Edition のリクエストと承認のワークフロー機能が含まれています。

Palamida の製品は Flexera のソリューションと併せることで高い相乗効果を生み出します。例えば、弊社は世界で最も包括的なソフトウェア脆弱性のインテリジェンス・データベースを構築、維持管理してソフトウェア脆弱性管理ソリューションに活用しています。このデータベースは今後拡張され、対象となるオープン・ソース・ソフトウェアのコンポーネントとライブラリの範囲が広がってゆきます。オープン・ソース脆弱性と修正対策(パッチ、アップグレードなど)に関する多彩な検証済みの情報により、Palamida のソリューションは無料リポジトリのみを使用する市販の他のソリューションと一線を画しています。

今後は、ソフトウェア資産管理(SAM)チームやセキュリティ・チームをターゲットとする弊社のソフトウェア・ライセンス最適化ソリューションと脆弱性管理ソリューションを統合する予定です。導入済みのソフトウェア・パッケージをスキャンしてサード・パーティーや社内で開発されたアプリケーションに含まれるオープン・ソース脆弱性を特定できるように、検出とインベントリの機能が拡張されます。AdminStudio も、サード・パーティー・インストーラ内でのオープン・ソースの使用と脆弱性を特定できるように拡張されます。

今後、オープン・ソースのコンプライアンス管理と脆弱性管理について、今まで以上にお知らせしてゆく予定です。まずは、お考えをお聞かせください。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です