Linuxの普及をサポートする非営利団体であるLinux Foundationは11月15日、「Open Source Forum 2016」を国内で初めて開催した。
Linux Foundationは、近年Linux以外にも注目を浴びる各種のオープンソースソフトウェア(OSS)プロジェクトを協業プロジェクトとして支援している。現在ホットなテクノロジ分野であるコンテナ、ブロックチェーン、セキュリティに関する協業プロジェクトには、Cloud Native Computing Foundation、Open Container Initiative、Hyperledger Project、およびCore Infrastructure Initiativeがある。今回、それらのプロジェクトからリーダーが来日し(一部はビデオ講演)、各プロジェクトの現状や今後について紹介した。
本稿では、OSSセキュリティ向上に取り組むCore Infrastructure Initiative(以下、CII)のセッションを紹介する。
セキュリティ分野で登壇したのは、Linux Foundationの最高技術責任者(CTO)であり、CIIに注力して活動しているNicko Van Someren氏だ。Someren氏は「オープンソースセキュリティの現在と今後私たちに必要なこと」と題して、2016年の振り返りを行うとともに、今後のOSSセキュリティの方向性を説明した。
Linux Foundationの最高技術責任者(CTO) Nicko Van Someren氏
まず、CIIについてご存知でない方のために簡単に解説しよう。
OSSの脆弱性については、関係者だけでなく一般メディアを含めて大きな話題となったのが、2014年に発覚したSSL/TLS暗号化ライブラリ「OpenSSL」の致命的な脆弱性(Heartbleed)だろう。これに続くかのように多くの著名なOSSの脆弱性が発見され、セキュリティに関して注目を集めた。このとき、Linux Foundationは、OSSのセキュリティ対策を早急に進めなければないということでCIIプロジェクトを開始した。
CIIは、支援が必要なOSSプロジェクトを見極め、人材獲得やセキュリティ強化といった必要経費のための資金や各種のテストツールやトレーニングを提供するなどの活動を行っている。
Amazon Web Services、Cisco、Dell、Facebook、Google、Hewlett Packard Enterprise(HPE)、IBM、Intel、Microsoft、VMware、富士通、日立、NECなどの企業が参加し、アドバイザリーボードには、Linuxカーネル開発の大家であるAlan Cox氏、Greg Kroah-Hartman氏、Ted T’so氏、コンピュータのセキュリティ専門家Bruce Schneier氏といったメンバーが就任している。
CIIの活動に対する評価は、2016年に発表された米連邦政府と米国全体のサイバーセキュリティ機能を強化するための一連の手順やプログラムを進めるサイバーセキュリティ国家行動計画(Cybersecurity National Action Plan:CNAP)が、CIIとも協力すると発表しているように、着実にセキュリティ分野で地位を固めていると言えるだろう。