海外コメンタリー

ソフトウェアサプライチェーンのセキュリティ向上へ--Linux Foundationらが発表した署名サービス

Steven J. Vaughan-Nichols (Special to ZDNet.com) 翻訳校正: 石橋啓一郎

2021-03-17 06:30

 もし数カ月前に、誰かにITセキュリティに関する最大の心配事を尋ねていたら、さまざまな答えが返ってきただろう。しかしその後、SolarWindsが自社のソフトウェアのサプライチェーンを守ることに致命的に失敗し、一部で「ITのパールハーバー」とも呼ばれるような事態が発生したことで、今では、仕事に真剣に取り組んでいる最高セキュリティ責任者(CSO)や最高情報セキュリティ責任者(CISO)であれば、誰でもソフトウェアサプライチェーンを守ることを最優先の仕事に位置づけている。オープンソースに対するこの要求に応えるために、The Linux FoundationRed HatGoogleパデュー大学が立ち上げたプロジェクトが「sigstore」だ。

 先週発表されたこのプロジェクトは、透明性が確保されたログを残す技術を基盤として、ソフトウェアの暗号署名を簡単に導入できるようにし、ソフトウェアサプライチェーンのセキュリティを改善することを目指したものだ。sigstoreはその目標を、開発者がファイルやコンテナイメージ、バイナリーなどのソフトウェアのアーティファクトに安全に署名できる仕組みを提供することで実現しようとしている。署名の記録は、改ざんできない公的なログで保管される。このサービスは、すべての開発者やソフトウェア提供者に無料で提供される予定になっている。この機能を実現するために使われるsigstoreのコードと運用のためのツールは、sigstoreのコミュニティによって開発されている。

 The Linux Foundationのオープンソースサプライチェーンセキュリティ担当ディレクターであるDavid A. Wheeler氏が述べている通り、検証済みの再現性のあるビルドが公開されるのはまだ先のことになる。

 Wheele氏は、「『再現性のあるビルド』とは、同じ入力に対して常に同じ出力が得られるビルドで、ビルド結果を検証できるものだ。また検証済みの再現性のあるビルドとは、独立した組織がソースコードからビルドを作成し、ビルドされた結果がそのソースコードから作成されたものであることを検証するプロセスのことを言う」と説明している。

 これを利用すれば、「ソフトウェアの部品表」(SBOM)を作ることができ、SBOMがあればどのプロジェクトでどんなコードが使われているかを正確に把握することができる。これもオープンソースを支持する要素の1つとなる。例えばハッキングされたSolarWindsの製品「Orion」は、ほかのプロプライエタリーなソフトウェアと同じように、中身はブラックボックスになっている。中がどうなっているかは、ビルドした人間しか分からない。そして今では、外部の企業がOrionの問題を発見するまで、SolarWinds自身も中がどうなっているのかを把握していなかったようだ。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    【マンガ解説】まだ間に合う、失敗しない「電子帳簿保存法」「インボイス制度」への対応方法

  2. ビジネスアプリケーション

    きちんと理解できていますか?いまさら聞けないインボイス制度の教科書

  3. 経営

    ヒヤリハット管理--トラブル防止のデジタル化でもたらされるメリットとは?具体的なイメージを紹介

  4. セキュリティ

    マンガでわかる―Webサイトからの情報搾取を狙うサイバー攻撃「SQLインジェクション」、どう防ぐ?

  5. セキュリティ

    緊急事態発生時にセキュリティを維持するための8つの戦略と危機管理計画チェックリスト

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]