重要な局面を迎えるオープンソースソフトウェアのセキュリティ

今回は「重要な局面を迎えるオープンソースソフトウェアのセキュリティ」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 Linux FoundationとOpen Source Software Security Foundation(OpenSSF)は8月23日、経済産業省や日本企業などの関係者と「Open Source Security Summit Japan」を開催した。オープンソースソフトウェア(OSS)の重要性が高まる現在、セキュリティも大きな課題となっており、会合後にLinux Foundation エグゼクティブ ディレクターのJim Zemlin氏とOpenSSF エグゼクティブディレクターのBrian Behlendorf氏が会見に応じた。

 現代社会を支えるITシステムは、OSSへの依存度が極めて高く、一説には企業のITソフトウェア製品の70~90%がOSSとも言われる。OSSは情報システムだけでなく、自動車などの制御システムや重要な社会インフラシステムでも活用されており、OSSの脆弱性といったセキュリティ問題は、こうしたシステムの健全性や可用性などを損なう重大なリスクになる。

 特に2010年代以降はセキュリティリスクが顕在化し、2014年に発覚したOpenSSLの脆弱性「Heartbleed」がインターネットインフラの安全性に大きな影響を与えたほか、商用アプリケーションが内包するOSSの脆弱性を突くサイバー攻撃も増加。2020年に発生した米SolarWindsのソフトウェア「Orion」の脆弱性を悪用する高度なサイバー攻撃は、米国の中枢機関への侵入を図る極めて深刻な脅威になり、昨今では「ソフトウェアのサプライチェーンセキュリティ」という形で、問題意識が国家レベルでも共有されるようになった。

 米国では、2021年にJoe Biden政権がサイバーセキュリティ対策強化の大統領令を発し、2022年5月には「Open Source Security Summit II」が開催。ここではLinux FoundationやOpenSSF、米国家安全保障局(NSA)、米サイバーセキュリティ・インフラセキュリティ庁(CISA)、米国標準技術研究所(NIST)などの機関や大手ITベンダーなどのトップが集まり、今後2年間に1億5000万ドルの資金を投じて、OSSおよびソフトウェアサプライチェーンのセキュリティ強化に向けた10の項目に取り組む方針が打ち出された。

 今回の日本での会合は、こうした米国などの動向を踏まえ、日本としても官民連携でOSSおよびソフトウェアサプライチェーンのセキュリティ強化に取り組む方針を掲げる機会となった。

 会合後の会見でZemlin氏は、「日本でこのような会合を持つことは大変に貴重な機会だ。日本もOSSに多大な貢献をしており、OSSを活用して多くの日本企業が素晴らしい多様な製品を社会に提供している。OSSを取り巻くセキュリティの課題は非常に複雑であり、コードレベルでレジリエンス(日本語で回復力、弾力性などと訳される)を高めなければならない。先の米国での会合では重点テーマを示し、政府と業界のリーダーが一丸となって行動する意思を表明した。長い旅路となるが、日本とも一緒に取り組みを進めていきたい」と述べた。

 現在のOSSは非常に多彩であり、多数のコミュニティーによってプロジェクトが推進されていることから、セキュリティの課題も非常に複雑になっている。それは、例えば、ソフトウェア開発者のセキュリティの意識やスキルの向上といったことから、脆弱性などのセキュリティ問題の発見から修正、リリースに至る最適なプロセスの構築、どのようなユーザーでもOSSの安全性を容易に確認できる方法、開発時期が古かったり非常に普及したりしているOSSの改善、業界や組織のリーダーを巻き込んだセキュリティのイニシアチブの醸成など多岐に渡る。

 Behlendorf氏は、こうした課題の幾つかについて現状を紹介した。

 「本質的な問題の1つには、開発者が自分で技術を学ぶというソフトウェア開発における基本姿勢があり、セキュリティを学ぶという機会がなかった。そのため、開発時に陥りがちなセキュリティ上のミスを体系化し、誰もが短時間で安全な開発手法を習得できるためのコースを提供している」

 「例えば、OpenSSLなどの非常に重要なコンポーネントは、メモリーセキュアなRustのような言語を利用して、安全性を高めた再開発を行うことで、インターネットインフラの安全性を高められるだろう。コードレベルにとどまらず、そうした取り組みが行われるコミュニティーを醸成していく必要もある」

 またZemlin氏は、「セキュリティスコアカード」という考え方も紹介した。これは、OSSやその開発コミュニティーなどにおけるセキュリティレベルや安全性などを客観的な指標として示すことにより、OSSを利用するユーザーが容易にその状況を把握する一助になると期待される。

 今回の会合を通じて日本の貢献が期待されるテーマとしては、「ソフトウェア部品表」(Software Bill Of Materials:SBOM)も取り上げられた。部品表とは、工業製品に使われる部品の種類や数量、製造元、採用箇所といった情報を取りまとめているもので、製品に何かしらの問題が発生した場合に、その原因などを把握する上でも不可欠な存在だ。製造業においては空気や水のようにもはや当たり前の存在だが、セキュリティ問題が深刻になったことで、IT業界でもソフトウェア製品を構成するOSSなどを「部品」と捉え、製品を構成するソフトウェアを「部品表」として把握できるようにすることが検討され出している。

 Behlendorf氏によれば、現在はSBOMの標準化を目指す幾つかの取り組みが進められている。例えば、Linux Foundationでは、ソフトウェアライセンス管理のベースとして約10年をかけて「Software Package Data Exchange」(SPDX)を整備し、2021年に「ISO/IEC JTC 1 標準」として認可された。

 他方で、Open Web Application Security Project(OWASP)が整備する「CycloneDX」などもある。Behlendorf氏は、「こうした幾つかの標準化されたSBOMがうまく連携し、最終的にソフトウェア開発環境に統合される形が1つの理想だろう」と述べ、Zemlin氏は「利用者の利点では、標準が幾つもある状況は混乱につながるだろう。それらが統合されることが望ましいが、相互運用性を確保することが重要になる。それぞれの標準が衝突してしまう事態は避けなければならない」と話した。

 この他にZemlin氏は、サイバーセキュリティ先進国としてイスラエルを挙げ、「米国や日本が(安全保障が国家的な課題となるイスラエルの事情を踏まえ)同様に取り組むというのは難しいが、米国には優れたソフトウェア産業があり、日本はSBOMのような先進的な土壌があり、世界各国が密接に連携してソフトウェアの安全性を高める取り組みが必要だ。イスラエルと日本の共通点は教育水準が極めて高いことであり、日本は意思決定がなされれば動きが一気に加速するので、日本の貢献を期待したい」などと語った。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
デジタル化などを背景にしたコア業務への集中とBPOの動向
IT関連
2024-03-20 03:39
3月31日は「世界バックアップデー」、大事なデータのバックアップをしよう。リストアの確認もお忘れなく
運用・監視
2024-03-29 07:07
米国版「知恵袋」、「Yahoo Answers」が5月4日に終了へ
アプリ・Web
2021-04-07 20:31
スーパーマリオコラボの限定スマートウォッチがタグ・ホイヤーから、価格は25万3000円
ハードウェア
2021-07-14 01:06
[速報]マイクロソフト、自然言語をプログラミング言語にAIで変換、新ノーコード機能をPower Appsに搭載。AI言語モデル「GPT-3」を採用。Microsoft Build 2021
Microsoft
2021-05-26 11:09
自動車業界向けAWSリファレンス、「WP.29 UN-R 155」対応を支援
IT関連
2024-06-09 00:44
保険大手Lemonadeのウェブサイトで顧客の個人情報が漏洩するバグが発覚
セキュリティ
2021-05-15 01:42
成長と機会に自信見せるインフォア–CEOとCTOに聞く、次なる課題や日本市場への戦略
IT関連
2024-12-12 02:51
JAMスタックを実現する国産サービス「kuroco」正式リリース。GitHub Actionsでビルドし、Webホスティング、APIサーバなど提供。月額1100円分まで無料
API
2021-04-20 07:41
IBM、「Terraform」のHashiCorpを64億ドルで買収へ–2024年末までの買収完了見込む
IT関連
2024-04-26 16:00
150年続くMLBに学ぶ、伝統ある事業の変革の勝ちパターン
IT関連
2024-04-06 08:14
ハウステンボス、公式アプリにWOVNの多言語化ソリューション採用–翻訳関連コストを圧縮
IT関連
2024-01-21 10:46
データサイエンティスト500人–リコー新中計にみるデジタル人材の重要性
IT関連
2023-03-09 22:58
家計や引っ越し、給料交渉など大学を卒業したばかりZ世代のための大人の手引書を提供するRealworldが3.7億円調達
その他
2021-04-11 10:33