OSSの脆弱性を狙った攻撃の対策として、ソフトウェア構成分析が求められている。当社の組込製品1機種をツールで分析したところ、想定よりも大幅に多いOSSが使用されている可能性ありとして検出された。
検出されたOSSが実際に使用されているかは、人手で判断する必要があり、そのためには判定基準が必要となる。
そこで、ツールがどのようにOSSと判定しているかを把握するために、ツールによる検出結果を分析した。その結果、検出されたOSSのほとんどが誤検知であること、ツールが誤検知に至るパターンがあることを確認した。
本稿では、上記の分析方法及び結果、特定した誤検知パターンについて述べる。