Linux FoundationとOpen Source Software Security Foundation(OpenSSF)は8月23日、経済産業省や日本企業などの関係者と「Open Source Security Summit Japan」を開催した。オープンソースソフトウェア(OSS)の重要性が高まる現在、セキュリティも大きな課題となっており、会合後にLinux Foundation エグゼクティブ ディレクターのJim Zemlin氏とOpenSSF エグゼクティブディレクターのBrian Behlendorf氏が会見に応じた。
現代社会を支えるITシステムは、OSSへの依存度が極めて高く、一説には企業のITソフトウェア製品の70~90%がOSSとも言われる。OSSは情報システムだけでなく、自動車などの制御システムや重要な社会インフラシステムでも活用されており、OSSの脆弱性といったセキュリティ問題は、こうしたシステムの健全性や可用性などを損なう重大なリスクになる。
特に2010年代以降はセキュリティリスクが顕在化し、2014年に発覚したOpenSSLの脆弱性「Heartbleed」がインターネットインフラの安全性に大きな影響を与えたほか、商用アプリケーションが内包するOSSの脆弱性を突くサイバー攻撃も増加。2020年に発生した米SolarWindsのソフトウェア「Orion」の脆弱性を悪用する高度なサイバー攻撃は、米国の中枢機関への侵入を図る極めて深刻な脅威になり、昨今では「ソフトウェアのサプライチェーンセキュリティ」という形で、問題意識が国家レベルでも共有されるようになった。
米国では、2021年にJoe Biden政権がサイバーセキュリティ対策強化の大統領令を発し、2022年5月には「Open Source Security Summit II」が開催。ここではLinux FoundationやOpenSSF、米国家安全保障局(NSA)、米サイバーセキュリティ・インフラセキュリティ庁(CISA)、米国標準技術研究所(NIST)などの機関や大手ITベンダーなどのトップが集まり、今後2年間に1億5000万ドルの資金を投じて、OSSおよびソフトウェアサプライチェーンのセキュリティ強化に向けた10の項目に取り組む方針が打ち出された。
今回の日本での会合は、こうした米国などの動向を踏まえ、日本としても官民連携でOSSおよびソフトウェアサプライチェーンのセキュリティ強化に取り組む方針を掲げる機会となった。
Linux Foundation エグゼクティブ ディレクターのJim Zemlin氏
会合後の会見でZemlin氏は、「日本でこのような会合を持つことは大変に貴重な機会だ。日本もOSSに多大な貢献をしており、OSSを活用して多くの日本企業が素晴らしい多様な製品を社会に提供している。OSSを取り巻くセキュリティの課題は非常に複雑であり、コードレベルでレジリエンス(日本語で回復力、弾力性などと訳される)を高めなければならない。先の米国での会合では重点テーマを示し、政府と業界のリーダーが一丸となって行動する意思を表明した。長い旅路となるが、日本とも一緒に取り組みを進めていきたい」と述べた。
現在のOSSは非常に多彩であり、多数のコミュニティーによってプロジェクトが推進されていることから、セキュリティの課題も非常に複雑になっている。それは、例えば、ソフトウェア開発者のセキュリティの意識やスキルの向上といったことから、脆弱性などのセキュリティ問題の発見から修正、リリースに至る最適なプロセスの構築、どのようなユーザーでもOSSの安全性を容易に確認できる方法、開発時期が古かったり非常に普及したりしているOSSの改善、業界や組織のリーダーを巻き込んだセキュリティのイニシアチブの醸成など多岐に渡る。
Behlendorf氏は、こうした課題の幾つかについて現状を紹介した。
「本質的な問題の1つには、開発者が自分で技術を学ぶというソフトウェア開発における基本姿勢があり、セキュリティを学ぶという機会がなかった。そのため、開発時に陥りがちなセキュリティ上のミスを体系化し、誰もが短時間で安全な開発手法を習得できるためのコースを提供している」
「例えば、OpenSSLなどの非常に重要なコンポーネントは、メモリーセキュアなRustのような言語を利用して、安全性を高めた再開発を行うことで、インターネットインフラの安全性を高められるだろう。コードレベルにとどまらず、そうした取り組みが行われるコミュニティーを醸成していく必要もある」
Open Source Software Security Foundation エグゼクティブディレクターのBrian Behlendorf氏
またZemlin氏は、「セキュリティスコアカード」という考え方も紹介した。これは、OSSやその開発コミュニティーなどにおけるセキュリティレベルや安全性などを客観的な指標として示すことにより、OSSを利用するユーザーが容易にその状況を把握する一助になると期待される。
今回の会合を通じて日本の貢献が期待されるテーマとしては、「ソフトウェア部品表」(Software Bill Of Materials:SBOM)も取り上げられた。部品表とは、工業製品に使われる部品の種類や数量、製造元、採用箇所といった情報を取りまとめているもので、製品に何かしらの問題が発生した場合に、その原因などを把握する上でも不可欠な存在だ。製造業においては空気や水のようにもはや当たり前の存在だが、セキュリティ問題が深刻になったことで、IT業界でもソフトウェア製品を構成するOSSなどを「部品」と捉え、製品を構成するソフトウェアを「部品表」として把握できるようにすることが検討され出している。
Behlendorf氏によれば、現在はSBOMの標準化を目指す幾つかの取り組みが進められている。例えば、Linux Foundationでは、ソフトウェアライセンス管理のベースとして約10年をかけて「Software Package Data Exchange」(SPDX)を整備し、2021年に「ISO/IEC JTC 1 標準」として認可された。
他方で、Open Web Application Security Project(OWASP)が整備する「CycloneDX」などもある。Behlendorf氏は、「こうした幾つかの標準化されたSBOMがうまく連携し、最終的にソフトウェア開発環境に統合される形が1つの理想だろう」と述べ、Zemlin氏は「利用者の利点では、標準が幾つもある状況は混乱につながるだろう。それらが統合されることが望ましいが、相互運用性を確保することが重要になる。それぞれの標準が衝突してしまう事態は避けなければならない」と話した。
この他にZemlin氏は、サイバーセキュリティ先進国としてイスラエルを挙げ、「米国や日本が(安全保障が国家的な課題となるイスラエルの事情を踏まえ)同様に取り組むというのは難しいが、米国には優れたソフトウェア産業があり、日本はSBOMのような先進的な土壌があり、世界各国が密接に連携してソフトウェアの安全性を高める取り組みが必要だ。イスラエルと日本の共通点は教育水準が極めて高いことであり、日本は意思決定がなされれば動きが一気に加速するので、日本の貢献を期待したい」などと語った。