Googleは、新たなイニシアティブでソフトウェアサプライチェーンのセキュリティ向上を目指す。同社の開発者がコードの構築と保守に使用しているものと同じセキュアパッケージを、企業向けオープンソースソフトウェア(OSS)のユーザーに提供していくという。
Googleは、OSSサプライヤーを狙ったサイバー攻撃は前年比で650%増加しており、アップストリームのオープンソースエコシステムで脆弱性を悪用することを狙っていると指摘する。
Google Cloudのセキュリティ部門バイスプレジデントのSunil Potti氏は次のように説明する。「これこそが、Googleが真摯に取り組んできた点だ。つまり、デジタルサプライチェーンにおける課題にいかに先回りするかということだ。物理的なサプライチェーンで今日われわれが置かれているのと同じ体制ではない」
「デジタルサプライチェーンでこれに相当するのがOSSだ。サプライチェーンにおける安全性の確保はエンドツーエンドの観点から行う必要がある中で、世界のほぼすべての企業はOSSに触れている」(Potti氏)
「Assured Open Source Software」(Assured OSS)サービスとしてGoogle Cloudの顧客に提供されるパッケージには、検証可能な形式でGoogleによって署名されるほか、定期的に脆弱性のスキャンと分析を実施することで、ユーザーを脆弱性や悪用から可能な限り保護する。
また、パッケージはGoogleの「Cloud Build」プラットフォームを使用して構築され、「SLSA」(ソフトウェアアーティファクトのサプライチェーンレベル)準拠で検証可能な証拠を得られる。さらに、Googleが安全性を確保し、保護する「Artifact Registry」(アーティファクトレジストリー)から配布される。SLSAフレームワークは、コードの改ざん防止や整合性の向上、パッケージ保護などを目的としている。
これは、Google社内で実際に使用されているプロセスに基づく。エンドツーエンドのプロセス全体で各ステップがアクティブに保護されるとともに、ソースコードの保護されたコピーが個別に管理されるというものだ。
Googleはブログ記事で、「Assured OSSで、顧客企業はGoogleが社内で使用しているものと同じOSSパッケージにアクセスできるようになり、当社が社内のOSSポートフォリオに適用している綿密なエンドツーエンドのセキュリティ機能とプラクティスから直接的なメリットを得ることができる」と説明している。Assured OSSは2022年第3四半期にプレビューとなる見通しだ。
サプライチェーンの脆弱性はサイバー犯罪者に狙われやすく、多くのインシデントは、攻撃者が新たに見つかったゼロデイサイバーセキュリティの脆弱性を悪用することに端を発する。セキュリティパッチが提供されても、組織は展開に時間を要する場合があるため、攻撃に脆弱な状態になりやすい。
Google Cloudは、今回の新サービスによって、オープンソースやサプライチェーンの脆弱性管理を容易にし、組織の規模を問わずサイバー攻撃に対する安全性を確保できるように支援したいと考えている。
Potti氏は次のように述べた。「社員が2人だけの店から、従業員10万人の銀行まで、あらゆる企業のための手段だ。今回われわれがAssured OSSパッケージという形で市場に投入するのは、Googleが長年にわたって自社の開発者を保護するために投資してきたオープンソースパッケージのキュレーションされた精選セットだ。コードを利用したり構築したりするあらゆる顧客が活用するものだ」
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。